Solution : emmerdé l'attaquant et ne pas perdre de temps CPU, un p'tit sleep bien placé pour ralentir la réponse...
Sinon, il est abérrant qu'avec LDAP, on puisse mettre des hash de mot de passe sans grain de sel ! Sachant qu'il y a plein de mot de passe faible, ne pas mettre de grain de sel revient à dire que les hash des mots de passe ne valent rien, quel que soit l'algo !
Bref, j'avais testé que les bons vieux MD5 avec sel, voire un triple DES avec grain de sel résiste mieux que certain algo plus moderne à la brute force.
La technique du grain de sel est archi connu dans UNIX depuis des années, n'est toujours pas utilisé dans Windows et quand aux applications web, j'espère que oui mais je crains le pire...
Je ne vois pas le rapport en GIMP et cette lib. Sur ma debian lenny, supprimer gimp supprime les paquetages gimp gimp-gnomevfs gimp-python, c'est tout à fait raisonable.
je dirais que ta distribution a un problème dans la gestion des dépendances...
Java n'a pas marché tout de suite... On a eu des applets qui sont finalement jamais allé très loin et on complètement disparu aujourd'hui !
Java n'était pas bien implanté dans le hardware, incapable de tourner sous Itanium (même si celui-ci n'existait pas à l'époque, mais il n'a pas mieux marché ensuite sur ce processeur orienté serveur). Les applets java marchait mal lorsqu'on les prenait sur tous les OS... Bref, il ne faut pas ré-écrire non plus le passé.
Bref, le java a marché avec la force de SUN derrière qui mettait une grosse partie de son avenir ... pas clair. Les relations de SUN avec le mouvement GNU n'étant pas toujours d'une clareté absolue par le passé. La suite, on la connait.
A l'origine, SUN partageait la moitié des parts d'OpenSTEP avec Next. Bref, java est une ré-écriture de tout cela dans un langage plus proche du C que l'ObjectiveC. Ce dernier étant très inspiré par smalltalk mais est compatible C.
D'un point de vue com, SUN a tout inventé, tout crée ! On sais même tous que le langage intermédiaire existait au début des années 80 avec le Pascal USCD.
J'ai pas dis qu'il fallait lire les man dans un terminal (même si c'est ce que je fait). Je dis simplement que c'est un format standard pour la doc et que je ne vois pas pourquoi les applications "modernes" aurait un autre format.
Rien n'empêche de lire les man dans un navigateur html... Rien n'empêche d'avoir des hyperliens (texinfo avait déjà tout ca).
La seule chose gênante est que l'environnement et/ou une application donnée de bureau veuille t'imposer un "browser". Un browser est un browser et il devrait tous se lancer en tant que
browser url
Je ne vois pas pourquoi l'application devrait être lié intimement au browser dans la très grande majorité des cas.
Je ne dis pas que ce que tu penses est faux, je dis juste que pris comme cela, tes deux paragraphes se contredisait par manque de clareté. J'avais bien compris ou tu voulais en venir et tu as donné exactement ci-dessus la différence entre les deux époques.
Ceci dis, comme dis dans un autre post, l'UE a aussi lancé sa propre procédure mais on voit qu'on n'a pas encore le poids des USA car tout le monde va se lancer dans la solution des USA (même si le processus est ouvert à la communauté).
Dans mon boulot de tout les jours, je n'ai pas vu encore une seule fois les retours des approches internes à l'UE.
Sinon, tout cela est bien beau mais tant que le hash de Windows n'aura pas de grain de sel, on sait ou est le trous. A mon sens, il vaut parfois mieux un hash pas terrible à grain de sel plutôt que l'engin de mort sans sel.
Attention, XP n'est plus maintenu ! C'est XP SP3 qui l'est...
Le service pack 2 a été très important. Il est donc partiellement faux de dire que le XP qu'on utilise aujourd'hui date de 2001. Le XP d'aujourd'hui est très différent.
Normalement, les applications sous debian sont censées utilisés www-browser ou x-www-browser selon que tu veuilles du mode terminal ou X11.
Après, que GNOME ou KDE nous gonfle a vouloir toujours imposer leur sauces à eux, c'est un autre problème. Une page web est une page web et les applications devraient être plus tolérante sur la navigateur et passer plus de temps à travailler leur code ;-)
Pour la vitesse, si tu te loggue via ssh sur une machine, tu n'est pas au millième de seconde près... Donc dans ce cas là, il n'y a pas de problème de vitesse. Pour ouvrir ton trousseau de clef gpg, ssh-agent... ce n'est pas une action que tu fais toutes les deux miniutes et encore une fois, il n'y a pas de problème de vitesse à ce niveau là.
> En tenant compte du fait que tu savais qu'il y avait 14 autres algorithmes jugé aussi
> robuste que la version lente de MD6 et qui eux sont plus rapides
Non, au moment du POST je ne le savais pas. Je n'ai pas pris le temps de surfer sur tout leur site avant d'exprimer que j'étais surpris.
> Multiplié les algos, c'est réduire le temps que cette poignée de personne a pour les
> valider... Je suis pas certain que tu arrives à l'effet voulu.
Il ne faut pas exagérer non plus. Tous les candidats sont très bon même si leur algo ne sont pas tous aussi bon.
Je n'y connais rien mais le RSA n'est pas si bon que cela puisque il faut des clefs de plus en plus grosse (cf pb clef gpg chez debian et autre), alors qu'il y a des algo qui permettent de faire bien mieux (courbe elliptique si mes souvenirs sont bons).
Bref, avoir plusieurs schéma est une bonne chose. J'ai regardé le schéma proposé par D. J. Bernstein : CubeHash. C'est vrai que comme cela, il semble simple. La suite, sans prendre de crayon et vu mon niveau en crypto, je ne suis pas capable d'en déduire quoi que ce soit.
> Par contre entre AES et SHA-3, il y en a un petit... Ils suivent le même processus de
> standardisation par le NIST:
OK, le lien est quand même faible. Ils suivent la même procédure.
> SHA-3 sera au hash ce que AES est au chiffrement: la solution estimé la meilleure par
> la communauté de la cryptographie. Contrairement à DES et SHA-(0,1,2) qui avaient été
> poussé unilatéralement par le NIST (et donc la NSA).
Désolé mais tu te contredie sur les deux dernières lignes. C'est une procédure NIST dans les deux cas. Pour moi, la communauté intervient plus de nos jours on va dire dans leur procédure mais cela reste du NIST. Bref, ton argumentation n'est pas bien développé à ce niveau là si tu cherches à convaincre quelqu'un.
Mais je ne tiens pas à MD6 ! Je dis, tiens il n'est plus la, surprenant ! Surprenant tout simplement parce que le compétiteur n'est pas un "amateur" dans le domaine. N'ayant pas suivis les débats, j'ai le droit d'être surpris. Je dirais même qu'il est normal d'être surpris et de vouloir en savoir plus.
Sinon, je préfère effectivement qu'il y ait plus qu'un seul hash, vu qu'un jour il tombera, s'il toutes les applications ne sont pas sur la même formule, cela me convient. Sinon, je ne vois pas le rapport entre l'AES et le hash mais je dois avoir oublié un truc.
Par contre, les manuels au format groff des cliclodromes sont de plus en plus mal fait, voire beaucoup trop léger. Pas besoin d'une dépendance khtml normalement, un bon système basé sur groff ou texinfo est largement suffisant. D'ailleurs, sur debian, avec le système des alternatives, on a un lecteur web par défaut, les applications devrait utiliser celui-ci.
Et alors, tu n'es pas obliger d'utiliser gnome ou kde... Moi j'installe les postes vierges et je ne met que les applications dont j'ai besoin. Et il n'y a pas gnome sur mon poste, ni kde.
C'est normal s'il sers à quelque chose... S'il ne sers à rien, il n'a pas besoin d'être là !
Donc, il faudrait avoir l'arbre de dépendances des paquets Microsoft dans Windows. Je ne sais pas si cela est disponible. La tradition sous Windows est d'avoir une grosse base commune partout et de ne pas gérer les dépendances.
Sous windows, c'est vrai que c'est plus simple, si tu n'est pas admin, il n'y a quasiment pas de mise à jour... C'est sur qu'avec cela, tu ne casses rien, ce sont les virus qui s'en charge ;-)
Tu peux prendre la version binaire et la mettre dans /opt. Ensuite, un p'tit alias et c'est bon...
C'est pas parce qu'on a apt-get qu'il faut aussi devenir neuneu !
Au moins, avec /opt, les choses sont propres parce que sous Windows, il y a pas mal de polution de la base de registre qui ne sera jamais nettoyer ensuite.
Non, on m'as parlé de 2 ans et demi pour le bilan global : fabrication ET recyclage.
Pour moi, un bilan GLOBAL prends en compte les produits chimique et leur recyclage...
Il reste qu'un panneau dure longtemps, plus longtemps qu'on ne le pensait. Même s'il s'arrête au bout de 20 ans, tu as déjà 17 ans et demi d'énergie parfaitement propre ! Qui dis mieux ?
Bref, tout cela est basé sur ce chiffre de 2 ans et demi et je n'ai pas de source pour le valider. Des sources ?
Il parait qu'il faut 2 ans et demi pour qu'un panneau solaire fabrique l'énergie qui aura servis à sa construction ainsi qu'a son recyclage. Si c'est vrai, sachant qu'un panneau dure trente ans, c'est un produit hyper écologique !
Je suis d'accord avec toi. Cela a l'air très surprenant et j'avoue que j'ai cru a une blague la première fois. Mais /a priori/, c'est assez sérieux et il y a du monde aussi.
N'étant pas au CEA mais connaissant des gens dans certains centres, ils ont globalement bien plus que crédit que les universitaires... Le CEA n'a pas pour objectif premier la recherche amont (laissé au universités et aux EPST dont le CNRS) mais ils sont plus dans le prototypage pré-industriel pour un certain nombre de produit.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à -2.
Sinon, il est abérrant qu'avec LDAP, on puisse mettre des hash de mot de passe sans grain de sel ! Sachant qu'il y a plein de mot de passe faible, ne pas mettre de grain de sel revient à dire que les hash des mots de passe ne valent rien, quel que soit l'algo !
Bref, j'avais testé que les bons vieux MD5 avec sel, voire un triple DES avec grain de sel résiste mieux que certain algo plus moderne à la brute force.
La technique du grain de sel est archi connu dans UNIX depuis des années, n'est toujours pas utilisé dans Windows et quand aux applications web, j'espère que oui mais je crains le pire...
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Pourquoi les américains ne prennent-il pas la solution européenne ?
Comme je l'ai déjà, un hash sans grain de sel ne sers à rien dans pas mal de cas. Ou sont les grains de sels dans ce que je vois ?
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
je dirais que ta distribution a un problème dans la gestion des dépendances...
[^] # Re: Une copie de VisualWorks...
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche VisualGST 0.5.0. Évalué à 4.
Java n'était pas bien implanté dans le hardware, incapable de tourner sous Itanium (même si celui-ci n'existait pas à l'époque, mais il n'a pas mieux marché ensuite sur ce processeur orienté serveur). Les applets java marchait mal lorsqu'on les prenait sur tous les OS... Bref, il ne faut pas ré-écrire non plus le passé.
Bref, le java a marché avec la force de SUN derrière qui mettait une grosse partie de son avenir ... pas clair. Les relations de SUN avec le mouvement GNU n'étant pas toujours d'une clareté absolue par le passé. La suite, on la connait.
A l'origine, SUN partageait la moitié des parts d'OpenSTEP avec Next. Bref, java est une ré-écriture de tout cela dans un langage plus proche du C que l'ObjectiveC. Ce dernier étant très inspiré par smalltalk mais est compatible C.
D'un point de vue com, SUN a tout inventé, tout crée ! On sais même tous que le langage intermédiaire existait au début des années 80 avec le Pascal USCD.
Bref, Java, le premier langage marketing !
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
Rien n'empêche de lire les man dans un navigateur html... Rien n'empêche d'avoir des hyperliens (texinfo avait déjà tout ca).
La seule chose gênante est que l'environnement et/ou une application donnée de bureau veuille t'imposer un "browser". Un browser est un browser et il devrait tous se lancer en tant que
browser url
Je ne vois pas pourquoi l'application devrait être lié intimement au browser dans la très grande majorité des cas.
[^] # Re: un autre
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Changement de ton chez les vendeurs de disques. Évalué à 7.
Tweeter a vraiment un intérêt pour que cela revienne si souvent ici ?
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 2.
Ceci dis, comme dis dans un autre post, l'UE a aussi lancé sa propre procédure mais on voit qu'on n'a pas encore le poids des USA car tout le monde va se lancer dans la solution des USA (même si le processus est ouvert à la communauté).
Dans mon boulot de tout les jours, je n'ai pas vu encore une seule fois les retours des approches internes à l'UE.
Sinon, tout cela est bien beau mais tant que le hash de Windows n'aura pas de grain de sel, on sait ou est le trous. A mon sens, il vaut parfois mieux un hash pas terrible à grain de sel plutôt que l'engin de mort sans sel.
[^] # Re: Mauvaise interpretation.
Posté par Sytoka Modon (site web personnel) . En réponse au journal Microsoft annonce la couleur. Évalué à 4.
Le service pack 2 a été très important. Il est donc partiellement faux de dire que le XP qu'on utilise aujourd'hui date de 2001. Le XP d'aujourd'hui est très différent.
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
Après, que GNOME ou KDE nous gonfle a vouloir toujours imposer leur sauces à eux, c'est un autre problème. Une page web est une page web et les applications devraient être plus tolérante sur la navigateur et passer plus de temps à travailler leur code ;-)
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 3.
> En tenant compte du fait que tu savais qu'il y avait 14 autres algorithmes jugé aussi
> robuste que la version lente de MD6 et qui eux sont plus rapides
Non, au moment du POST je ne le savais pas. Je n'ai pas pris le temps de surfer sur tout leur site avant d'exprimer que j'étais surpris.
> Multiplié les algos, c'est réduire le temps que cette poignée de personne a pour les
> valider... Je suis pas certain que tu arrives à l'effet voulu.
Il ne faut pas exagérer non plus. Tous les candidats sont très bon même si leur algo ne sont pas tous aussi bon.
Je n'y connais rien mais le RSA n'est pas si bon que cela puisque il faut des clefs de plus en plus grosse (cf pb clef gpg chez debian et autre), alors qu'il y a des algo qui permettent de faire bien mieux (courbe elliptique si mes souvenirs sont bons).
Bref, avoir plusieurs schéma est une bonne chose. J'ai regardé le schéma proposé par D. J. Bernstein : CubeHash. C'est vrai que comme cela, il semble simple. La suite, sans prendre de crayon et vu mon niveau en crypto, je ne suis pas capable d'en déduire quoi que ce soit.
> Par contre entre AES et SHA-3, il y en a un petit... Ils suivent le même processus de
> standardisation par le NIST:
OK, le lien est quand même faible. Ils suivent la même procédure.
> SHA-3 sera au hash ce que AES est au chiffrement: la solution estimé la meilleure par
> la communauté de la cryptographie. Contrairement à DES et SHA-(0,1,2) qui avaient été
> poussé unilatéralement par le NIST (et donc la NSA).
Désolé mais tu te contredie sur les deux dernières lignes. C'est une procédure NIST dans les deux cas. Pour moi, la communauté intervient plus de nos jours on va dire dans leur procédure mais cela reste du NIST. Bref, ton argumentation n'est pas bien développé à ce niveau là si tu cherches à convaincre quelqu'un.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 7.
Sinon, je préfère effectivement qu'il y ait plus qu'un seul hash, vu qu'un jour il tombera, s'il toutes les applications ne sont pas sur la même formule, cela me convient. Sinon, je ne vois pas le rapport entre l'AES et le hash mais je dois avoir oublié un truc.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Pour les applications web des hébergeurs, ce n'est pas pareil.
[^] # Re: MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à -1.
# MD6
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 5.
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 3.
Par contre, les manuels au format groff des cliclodromes sont de plus en plus mal fait, voire beaucoup trop léger. Pas besoin d'une dépendance khtml normalement, un bon système basé sur groff ou texinfo est largement suffisant. D'ailleurs, sur debian, avec le système des alternatives, on a un lecteur web par défaut, les applications devrait utiliser celui-ci.
[^] # Re: Le problème est ailleurs
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 3.
[^] # Re: Concurrent de deezer sans flash
Posté par Sytoka Modon (site web personnel) . En réponse au journal Et un site de plus sans flash : mappy. Évalué à 2.
Lapalissade !
[^] # Re: Quelques commentaires
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Microsoft proposera Firefox dans Windows 7. Évalué à 2.
Donc, il faudrait avoir l'arbre de dépendances des paquets Microsoft dans Windows. Je ne sais pas si cela est disponible. La tradition sous Windows est d'avoir une grosse base commune partout et de ne pas gérer les dépendances.
[^] # Re: Surpris plus qu'énervé
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Une interview de Brad Spengler. Évalué à 2.
Sous windows, c'est vrai que c'est plus simple, si tu n'est pas admin, il n'y a quasiment pas de mise à jour... C'est sur qu'avec cela, tu ne casses rien, ce sont les virus qui s'en charge ;-)
[^] # Re: Et pendant ce temps
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Retard(s) pour la prochaine version de C++. Évalué à 4.
ftp://ftp.nag.co.uk/sc22wg5/N1751-N1800/N1782.pdf
La page qui récapitule tout cela
http://ftp.nag.co.uk/sc22wg5
[^] # Et pendant ce temps
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Retard(s) pour la prochaine version de C++. Évalué à 2.
La proposition à l'état actuelle
ftp://ftp.nag.co.uk/sc22wg5/N1751-N1800/N1775.pdf
[^] # Re: Anti-Windowsiens primaire
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Une interview de Brad Spengler. Évalué à 10.
C'est pas parce qu'on a apt-get qu'il faut aussi devenir neuneu !
Au moins, avec /opt, les choses sont propres parce que sous Windows, il y a pas mal de polution de la base de registre qui ne sera jamais nettoyer ensuite.
[^] # Re: Pile à combustible ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Un nouvel espoir pour la voiture électrique?. Évalué à 2.
Pour moi, un bilan GLOBAL prends en compte les produits chimique et leur recyclage...
Il reste qu'un panneau dure longtemps, plus longtemps qu'on ne le pensait. Même s'il s'arrête au bout de 20 ans, tu as déjà 17 ans et demi d'énergie parfaitement propre ! Qui dis mieux ?
Bref, tout cela est basé sur ce chiffre de 2 ans et demi et je n'ai pas de source pour le valider. Des sources ?
[^] # Re: Pile à combustible ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Un nouvel espoir pour la voiture électrique?. Évalué à 3.
Quelqu'un confirme ?
[^] # Re: Pile à combustible ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Un nouvel espoir pour la voiture électrique?. Évalué à 3.
N'étant pas au CEA mais connaissant des gens dans certains centres, ils ont globalement bien plus que crédit que les universitaires... Le CEA n'a pas pour objectif premier la recherche amont (laissé au universités et aux EPST dont le CNRS) mais ils sont plus dans le prototypage pré-industriel pour un certain nombre de produit.