C'est pas du tout pareil... Latex 3 est un projet sur le long terme morcellé en morceau qui avance selon un chemin pas tracé. Si tu regardes Latex en 10 ans, cela a bien changé et il a bien évolué.
C'est pas applicable directement malheureusement dans le milieu de la recherche. J'ai trop d'utilisateurs qui sont en qwerty et trop d'utilisateur qui se promène à l'étranger.
Par contre, imposer petite lettre, grande lettre, chiffre ET symbole parmi les 8 premiers caractères complique grnadement la tâche de john...
Je suis 100% d'accord avec toi sur tout ce que tu dis. A vrai dire, j'ai encore des hash MD5 $1$ sur 95% de mes comptes, tout va bien ;-)
Concernant le même hash pour deux personnes, j'ai mis 100% de différence car normalement, deux personnes ne devrait pas avoir la même graine. Là, on va dire que si cela arrive, c'est une bogue dans l'implémentation.
Penser un algo pour se protéger des attaques par tables pré-calculées est tout aussi important que d'avoir un bon hash. Avec la RAM qui augmente et coute de moins en moins chère, avec les machines massivement parallèle, la prudence est de mise. Cette protection finalement par un petit ajout de complexité, fournit une garantie pour pas si chère. Il faut aussi savoir que l'attaque par table est fatale car les mots de passe tombent alors de manière "instantanée" ! C'est pas rien... Du coup, il faut changer d'algo en urgence normalement ce qui au niveau d'un SI central n'est jamais facile.
Je te crois sur paroles car de toute manière, je n'ai aucun moyen de faire une métrique ;-)
D'un point de vue administrateur système et réseau, en domaine, XP (pro) et 2000 se ressemble comme deux gouttes d'eau. J'avoue avoir du mal à faire une réelle différence (même si 2000 est maintenant ancien et qu'il manque des outils comme kill... mais cela est la couche logicielle qui pouvait avoir une mise à jour si Microsoft l'avait voulu).
Question annexe : n'aurait-il pas été possible de sortir un 2000 SP5 qui aurait transformé un 2000 en XP ? Avec la différence d'age entre les deux produits et la longévité de ces deux produits (2000 est toujours supporté), cela n'aurait-il pas été plus simple pour Microsoft de faire 'cadeau' d'XP pro aux personnes ayant 2000 mais de ne supporter ensuite que XP ?
Le SSHA correspond de mémoire au $5$ qui est donc mieux que celui a base de MD5...
Pour avoir fait des essais de cassage par brute force sur plus de 400 comptes il y a quelques années, je peux te dire que les mots de passe historique d'UNIX (triple DES avec sel) sont plus solides que ceux de Windows... Du coup, ayant à l'époque des anciennes stations UNIX, j'avais laissé mes utilisateurs avec des hash 3DES. En effet, avec les tables pré-calculés, les mots de passe Windows tombent en quelques secondes pour une grande partie d'entre eux. Les mots de passe 3DES avec sel tombent, en plus faible quantité et bien moins vite. Il doit y avoir plus de 20 ans entre les deux implémentations !
Bref, je vois dans ton autre post que pour toi, le sel n'est pas si important que cela. Je dis que non, le SEL est un composant essentiel du hachage du mot de passe au même titre que la qualité de la fonction de hachage.
Je suis ahuris que tant de personne puisse encore hacher les mots de passe sans sel et puisse penser que le sel n'apporte finalement pas grand chose. C'est une des bases de la sécurité d'UNIX. Le sel améliore sensiblement la protection contre la force brute et assure à 100% que deux personnes ayant le même mot de passe n'auront pas le même hash. C'est y pas bien ;-)
Monsieur le prétentieux qui sais tout, je ne vous répondrais plus.
Moi, je suis admin système et je peux te dire que des mots de passe sans sel, j'en vois... Alors, toi tu es parfait, sur parfait mais la pratique ne l'est pas. Pour reprendre un dernier exemple, dans OpenLDAP, tu as le choix entre plein de hash dont SHA et SSHA. Le premier n'est pas bon sauf raison particulière, combien l'ont pris sans savoir ?
Donc prends le de haut et les choses vont s'améliorer d'elle même ! Et puisque tu penses qu'une news sur les hash n'est pas l'occasion de parler des mots de passe, nous ne sommes pas du tout sur la même longueur d'onde.
Continue comme cela mais sans moi, je n'aime pas les développeurs qui rayent le paquet.
Simplement, il y a un débat qui tourne sur les hash de mot de passe et je rappelle qu'il est important de mettre du sel dedans, ce que ne fait pas Microsoft.
Je sais très bien de quoi je parle et si je met le sujet sur le tapis, c'est que je suis sur que pas mal ici font des applications web avec mot de passe sans sel ! Donc avoir une super fonction de hash sans sel pour les mots de passe, c'est d'la daube !
Bien sur que les fonctions de hash servent à autres choses et qu'alors, le sel n'est pas important.
Maintenant, peux-tu m'assurer que toutes tes appli web utilisent du sel et tu reviendras avec tes commentaires. Même si c'est pas l'objet direct du concours, la taille du sel est une question qui mérite aussi d'être posé et justement c'est le moment.
Tu sais dimensionner la taille du sel pour une fonction de hachage donnée pour avoir une bonne sécurité sur les mots de passe ? Moi non.
Enfin, le SP2 était un gros changement. Avant le SP2, XP était franchement moins bien que 2000.
D'ailleurs, y-a-t-il plus de différence entre un XP initial et un XP SP2 qu'entre un 2000 SP4 et un XP initial ? J'ai toujours eu l'impression qu'il y avait epsilon entre 2000 et XP (pro bien sur).
Si, car l'aide devrait être du HTML de base donc compatible avec tout navigateur...
Lorsque je demande l'aide au logiciel, j'ai envie qu'il m'ouvre mon navigateur et non pas encore un autre navigateur que je n'utilise pas et qui est mal configuré. Cela me semble un mauvais choix de conception. L'intérêt de faire sa doc en HTML est justement de la rendre plus universelle.
Bref, je ne sais pas ce que tu as comme distribution mais je sens que déjà, je ne l'aime pas beaucoup.
Tu donnes des cas ou effectivement, le logiciel travaille sur un canvas HTML pour en modifier de manière interactive le DOM. Dans ces cas là, la liaison sur un moteur est normale.
C'est nullement le cas des programmes d'aide.
Quand au problème du fichier temporaire, c'est un faux problème, un navigateur devrait ouvrir un page en lisant l'entrée standard. Quand on sais ce que met un navigateur dans son cache, cela me semble aussi un exemple mal choisis...
> Ce qu'il lui faut c'est un moteur de rendu HTML et c'est plus facile d'en supporter un que
> plusieurs.
Il faut arrêter les conneries. On parle de documentations d'un logiciel. C'est un type de document assez basique (pas un site web de vente en ligne) et qui ne nécessite pas d'être lié a une version d'un navigateur. Sinon, je doute de al pérénité de la documentation.
Si ta doc est si importante qu'elle doit être lu au détail du pixel près, je doute qu'un seul utilisateur puisse un jour utilisé ledit logiciel.
J'ai pas envie de me créer un compte pour voir... J'ai aussi lu sur le sujet et bref, cela ne me donne pas du tout envie d'aller en voir plus. Donc ma question état pour vous.
Moi, j'ai déjà pas mal d'endroit pour avoir de l'info et je n'ai pas besoin de ce truc à la mode. Et puis mes journées ne font que 24h donc je ne peux pas non plus tester toutes les technos "sociale" du moment.
Solution : emmerdé l'attaquant et ne pas perdre de temps CPU, un p'tit sleep bien placé pour ralentir la réponse...
Sinon, il est abérrant qu'avec LDAP, on puisse mettre des hash de mot de passe sans grain de sel ! Sachant qu'il y a plein de mot de passe faible, ne pas mettre de grain de sel revient à dire que les hash des mots de passe ne valent rien, quel que soit l'algo !
Bref, j'avais testé que les bons vieux MD5 avec sel, voire un triple DES avec grain de sel résiste mieux que certain algo plus moderne à la brute force.
La technique du grain de sel est archi connu dans UNIX depuis des années, n'est toujours pas utilisé dans Windows et quand aux applications web, j'espère que oui mais je crains le pire...
Je ne vois pas le rapport en GIMP et cette lib. Sur ma debian lenny, supprimer gimp supprime les paquetages gimp gimp-gnomevfs gimp-python, c'est tout à fait raisonable.
je dirais que ta distribution a un problème dans la gestion des dépendances...
Java n'a pas marché tout de suite... On a eu des applets qui sont finalement jamais allé très loin et on complètement disparu aujourd'hui !
Java n'était pas bien implanté dans le hardware, incapable de tourner sous Itanium (même si celui-ci n'existait pas à l'époque, mais il n'a pas mieux marché ensuite sur ce processeur orienté serveur). Les applets java marchait mal lorsqu'on les prenait sur tous les OS... Bref, il ne faut pas ré-écrire non plus le passé.
Bref, le java a marché avec la force de SUN derrière qui mettait une grosse partie de son avenir ... pas clair. Les relations de SUN avec le mouvement GNU n'étant pas toujours d'une clareté absolue par le passé. La suite, on la connait.
A l'origine, SUN partageait la moitié des parts d'OpenSTEP avec Next. Bref, java est une ré-écriture de tout cela dans un langage plus proche du C que l'ObjectiveC. Ce dernier étant très inspiré par smalltalk mais est compatible C.
D'un point de vue com, SUN a tout inventé, tout crée ! On sais même tous que le langage intermédiaire existait au début des années 80 avec le Pascal USCD.
[^] # Re: en effet tout se perd
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debian: la fin d'une époque. Évalué à 2.
[^] # Re: Logiciel de sécurisation
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 30. Évalué à 2.
[^] # Re: Password en base???
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 2.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 2.
Par contre, imposer petite lettre, grande lettre, chiffre ET symbole parmi les 8 premiers caractères complique grnadement la tâche de john...
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 3.
Concernant le même hash pour deux personnes, j'ai mis 100% de différence car normalement, deux personnes ne devrait pas avoir la même graine. Là, on va dire que si cela arrive, c'est une bogue dans l'implémentation.
Penser un algo pour se protéger des attaques par tables pré-calculées est tout aussi important que d'avoir un bon hash. Avec la RAM qui augmente et coute de moins en moins chère, avec les machines massivement parallèle, la prudence est de mise. Cette protection finalement par un petit ajout de complexité, fournit une garantie pour pas si chère. Il faut aussi savoir que l'attaque par table est fatale car les mots de passe tombent alors de manière "instantanée" ! C'est pas rien... Du coup, il faut changer d'algo en urgence normalement ce qui au niveau d'un SI central n'est jamais facile.
[^] # Re: 2 ans ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debian: la fin d'une époque. Évalué à 8.
[^] # Re: Go-OO dans les distros
Posté par Sytoka Modon (site web personnel) . En réponse au journal Go-OO. Évalué à 4.
http://packages.debian.org/lenny/openoffice.org
C'est vrai que c'est un peu caché...
[^] # Re: Nouvelle stable dans un an
Posté par Sytoka Modon (site web personnel) . En réponse au journal Debian: la fin d'une époque. Évalué à 9.
[^] # Re: Mauvaise interpretation.
Posté par Sytoka Modon (site web personnel) . En réponse au journal Microsoft annonce la couleur. Évalué à 3.
D'un point de vue administrateur système et réseau, en domaine, XP (pro) et 2000 se ressemble comme deux gouttes d'eau. J'avoue avoir du mal à faire une réelle différence (même si 2000 est maintenant ancien et qu'il manque des outils comme kill... mais cela est la couche logicielle qui pouvait avoir une mise à jour si Microsoft l'avait voulu).
Question annexe : n'aurait-il pas été possible de sortir un 2000 SP5 qui aurait transformé un 2000 en XP ? Avec la différence d'age entre les deux produits et la longévité de ces deux produits (2000 est toujours supporté), cela n'aurait-il pas été plus simple pour Microsoft de faire 'cadeau' d'XP pro aux personnes ayant 2000 mais de ne supporter ensuite que XP ?
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 2.
Pour avoir fait des essais de cassage par brute force sur plus de 400 comptes il y a quelques années, je peux te dire que les mots de passe historique d'UNIX (triple DES avec sel) sont plus solides que ceux de Windows... Du coup, ayant à l'époque des anciennes stations UNIX, j'avais laissé mes utilisateurs avec des hash 3DES. En effet, avec les tables pré-calculés, les mots de passe Windows tombent en quelques secondes pour une grande partie d'entre eux. Les mots de passe 3DES avec sel tombent, en plus faible quantité et bien moins vite. Il doit y avoir plus de 20 ans entre les deux implémentations !
Bref, je vois dans ton autre post que pour toi, le sel n'est pas si important que cela. Je dis que non, le SEL est un composant essentiel du hachage du mot de passe au même titre que la qualité de la fonction de hachage.
Je suis ahuris que tant de personne puisse encore hacher les mots de passe sans sel et puisse penser que le sel n'apporte finalement pas grand chose. C'est une des bases de la sécurité d'UNIX. Le sel améliore sensiblement la protection contre la force brute et assure à 100% que deux personnes ayant le même mot de passe n'auront pas le même hash. C'est y pas bien ;-)
[^] # Re: Logiciel de sécurisation
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Revue de presse de l'April pour la semaine 30. Évalué à 3.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à -1.
Moi, je suis admin système et je peux te dire que des mots de passe sans sel, j'en vois... Alors, toi tu es parfait, sur parfait mais la pratique ne l'est pas. Pour reprendre un dernier exemple, dans OpenLDAP, tu as le choix entre plein de hash dont SHA et SSHA. Le premier n'est pas bon sauf raison particulière, combien l'ont pris sans savoir ?
Donc prends le de haut et les choses vont s'améliorer d'elle même ! Et puisque tu penses qu'une news sur les hash n'est pas l'occasion de parler des mots de passe, nous ne sommes pas du tout sur la même longueur d'onde.
Continue comme cela mais sans moi, je n'aime pas les développeurs qui rayent le paquet.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 2.
Mais bon, c'est bien ce que je disais, il y a du boulot pour former les concepteurs de site web...
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Simplement, il y a un débat qui tourne sur les hash de mot de passe et je rappelle qu'il est important de mettre du sel dedans, ce que ne fait pas Microsoft.
Je sais très bien de quoi je parle et si je met le sujet sur le tapis, c'est que je suis sur que pas mal ici font des applications web avec mot de passe sans sel ! Donc avoir une super fonction de hash sans sel pour les mots de passe, c'est d'la daube !
Bien sur que les fonctions de hash servent à autres choses et qu'alors, le sel n'est pas important.
Maintenant, peux-tu m'assurer que toutes tes appli web utilisent du sel et tu reviendras avec tes commentaires. Même si c'est pas l'objet direct du concours, la taille du sel est une question qui mérite aussi d'être posé et justement c'est le moment.
Tu sais dimensionner la taille du sel pour une fonction de hachage donnée pour avoir une bonne sécurité sur les mots de passe ? Moi non.
[^] # Re: Mauvaise interpretation.
Posté par Sytoka Modon (site web personnel) . En réponse au journal Microsoft annonce la couleur. Évalué à 2.
D'ailleurs, y-a-t-il plus de différence entre un XP initial et un XP SP2 qu'entre un 2000 SP4 et un XP initial ? J'ai toujours eu l'impression qu'il y avait epsilon entre 2000 et XP (pro bien sur).
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
Ils lancerait
x-www-browser file:///usr/share/gimp/2.0/help/fr/index.html
que ce serait pareil !!
Perso, ces logiciels spécifiques pour lire la doc qui sont bridés, c'est plus que pénible.
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 1.
Lorsque je demande l'aide au logiciel, j'ai envie qu'il m'ouvre mon navigateur et non pas encore un autre navigateur que je n'utilise pas et qui est mal configuré. Cela me semble un mauvais choix de conception. L'intérêt de faire sa doc en HTML est justement de la rendre plus universelle.
Bref, je ne sais pas ce que tu as comme distribution mais je sens que déjà, je ne l'aime pas beaucoup.
[^] # Re: Mauvaise interpretation.
Posté par Sytoka Modon (site web personnel) . En réponse au journal Microsoft annonce la couleur. Évalué à 2.
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
C'est nullement le cas des programmes d'aide.
Quand au problème du fichier temporaire, c'est un faux problème, un navigateur devrait ouvrir un page en lisant l'entrée standard. Quand on sais ce que met un navigateur dans son cache, cela me semble aussi un exemple mal choisis...
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
> plusieurs.
Il faut arrêter les conneries. On parle de documentations d'un logiciel. C'est un type de document assez basique (pas un site web de vente en ligne) et qui ne nécessite pas d'être lié a une version d'un navigateur. Sinon, je doute de al pérénité de la documentation.
Si ta doc est si importante qu'elle doit être lu au détail du pixel près, je doute qu'un seul utilisateur puisse un jour utilisé ledit logiciel.
[^] # Re: un autre
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Changement de ton chez les vendeurs de disques. Évalué à 3.
Moi, j'ai déjà pas mal d'endroit pour avoir de l'info et je n'ai pas besoin de ce truc à la mode. Et puis mes journées ne font que 24h donc je ne peux pas non plus tester toutes les technos "sociale" du moment.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à -2.
Sinon, il est abérrant qu'avec LDAP, on puisse mettre des hash de mot de passe sans grain de sel ! Sachant qu'il y a plein de mot de passe faible, ne pas mettre de grain de sel revient à dire que les hash des mots de passe ne valent rien, quel que soit l'algo !
Bref, j'avais testé que les bons vieux MD5 avec sel, voire un triple DES avec grain de sel résiste mieux que certain algo plus moderne à la brute force.
La technique du grain de sel est archi connu dans UNIX depuis des années, n'est toujours pas utilisé dans Windows et quand aux applications web, j'espère que oui mais je crains le pire...
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Pourquoi les américains ne prennent-il pas la solution européenne ?
Comme je l'ai déjà, un hash sans grain de sel ne sers à rien dans pas mal de cas. Ou sont les grains de sels dans ce que je vois ?
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
je dirais que ta distribution a un problème dans la gestion des dépendances...
[^] # Re: Une copie de VisualWorks...
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche VisualGST 0.5.0. Évalué à 4.
Java n'était pas bien implanté dans le hardware, incapable de tourner sous Itanium (même si celui-ci n'existait pas à l'époque, mais il n'a pas mieux marché ensuite sur ce processeur orienté serveur). Les applets java marchait mal lorsqu'on les prenait sur tous les OS... Bref, il ne faut pas ré-écrire non plus le passé.
Bref, le java a marché avec la force de SUN derrière qui mettait une grosse partie de son avenir ... pas clair. Les relations de SUN avec le mouvement GNU n'étant pas toujours d'une clareté absolue par le passé. La suite, on la connait.
A l'origine, SUN partageait la moitié des parts d'OpenSTEP avec Next. Bref, java est une ré-écriture de tout cela dans un langage plus proche du C que l'ObjectiveC. Ce dernier étant très inspiré par smalltalk mais est compatible C.
D'un point de vue com, SUN a tout inventé, tout crée ! On sais même tous que le langage intermédiaire existait au début des années 80 avec le Pascal USCD.
Bref, Java, le premier langage marketing !