Victor STINNER a écrit 1632 commentaires

Tout à fait, c'est N'IMPORTE QUOI cet articlue du journal Le Monde. Cette technique n'a rien de révolutionnaire et l'économie mondiale ne va pas s'effondrer lors de la publication de son article. D'autres exemples de canaux cachés (ou "fuite d'information") :
- "Time attack" : mesurer le temps de réponse
- Écoute du bruit du CPU avec un micro
- Mesure de la consommation électrique
- Pose d'un micro sur un clavier + réseau de neurone pour deviner les touches tapées
- Écouter les ondes électromagnétique / radio (écran, clavier, souris) (il parait que clavier/souris sans fil c'est le top)
- etc.

Le principal défaut de ces techniques étant qu'il faut être proche physiquement du serveur. La meilleure technique apparement est "time attack" car elle peut fonctionner à distance à condition d'avoir un accès très rapide au serveur (réseau local).

Bon, pour revenir à l'article : « un petit logiciel "taupe" pourrait donc écouter la puce en toute discrétion, et renvoyer la clé à des hackers ». Comprendre, il faut arriver à installer une taupe.... Il faut donc que la sécurité du serveur soit bancale.

Tiens, tant qu'on y est. Une autre technique impressionante, qui ressemble à celle dont parle l'article du monde : les processeurs à double coeur isolent au mieux les processeurs exécutés en parallèle (ex: un "core duo" exécute deux programmes à la fois). Mais un chercheur a montré qu'il y a des fuites d'information, (je me souviens plus bien, genre) pouvoir compter le nombre de faute de page. Une taupe peut donc exploiter cette faiblesse pour sniffer les bits d'une clé RSA.

Bref, c'est sûrement une avancée en matière de fuite d'information, mais ce n'est pas une révolution. Comme toujours, ce n'est pas l'algorithme RSA qui est attaqué mais les faiblesses de son implémentation (logiciel et matérielle). Donc avant de boycotter les CPU Intel/AMD, commencez par vous installer un cage de faraday, ne plus utiliser de wifi ou souris sans fil, et d'utiliser des bibliothèques protégées contre les attaques "time attack" (OpenSSL par exemple).

Je peux vous trouver des articles sur les méthodes présentées plus haut.

Haypo

Je vois deux sorties DVI, ça veut dire dual screen ???

Haypo

D'autres journaux ont été posté sur ce reportage. Voici ma réaction avec des infos :
http://linuxfr.org/comments/680460.html#680460

Haypo

Idem, je n'ai pas d'imprimante Samsung, mais j'applaudis des deux mains de telles initiatives. Moi qui pense justement acheter une imprimante laser noir & blanc à moyen terme, je vais zieuter du côté de celles qui ont des pilotes libres :-)

Haypo

J'avais fait pas mal de tests (en fait, j'ai juste lancé mon script de test, run_testcase.py) des différentes implémentations de Python : CPython, Stackless, pypy, IronPython et Jython. En bien, Stackless passe sans problème les tests : normal, c'est à 98% du CPython classique. pypy a eu besoin d'un petit patch dans une bibliothèque car le comportement était légèrement différent de CPython sur un point très précis (hum, je crois la gestion des charsets). Mais après avoir été patché, ben c'est passé nickel :-) Jython a besoin de gros patchs pour traduire le code en Python 2.3. Jython étant une implémentation ancienne et incomplète de Python. Pour finir, IronPython a eu besoin de quelques patchs mais finalement s'en est bien sorti.

Je résume : CPython, Stackless, pypy et IronPython peuvent exécuter du Python 2.4 mais avec des adaptations mineures.

Jython est un projet mort. Si je me trompe pas, IronPython est développé par l'auteur de Jython :-)

--

Par contre, pour la question : IronPython est-il une implémentation complète de Python 2.4 ? La réponse est clairement non. IronPython 1.0 n'avait ni le module md5 ni le module socket. Deux exemples de modules tout de même courant. Depuis, md5 a été implémenté en C#.

Il faut savoir que beaucoup de code de CPython est codé en... C. pypy vise à tout recoder en Python. Ce travail profite aux autres implémentations car ils peuvent offrir ces modules en pur Python avant de réaliser une implémentation "optimisée" (en C# par exemple). Pour info, pypy peut aujourd'hui être convertit en C, puis le C est compilé.

--

Pour ceux que ça intéresse, je maintiens un fichier de compatibilité offrant quelques outils/classes Python 2.4/2.5 pour les anciennes implémentations (ça devrait passer en Python 1.5 :-)).
http://hachoir.org/browser/hachoir/trunk/hachoir/compatibili(...)

Quelques infos de la compatibilité de Hachoir aves les différentes implémentations :
http://hachoir.org/wiki/Compatibility

Haypo

Tant qu'on y est, autant faire un peu de pub pour une des dépendences : IPy. C'est une bibliothèque Python permettant de manipuler des adresses IPv4 et IPv6. Elle supporte toutes les formes d'adresse : notation numérique (3232235562), "127.0.0.1", "192.168.0.0/16", "::1", etc. On peut tester sur une IP appartient à un réseau, parcourir/lister les IP d'un réseau, formatter une IP en chaîne de caractère ou en nombre entier, etc.
https://software.inl.fr/trac/trac.cgi/wiki/IPy

Étant donné que son auteur ne répondait plus aux emails et n'avait appliqué aucun patch (dont le plus vieux, bug bloquant, avait un an), INL a "forké" le projet. La version 0.5 contient tous les patchs trouvés. Rapidement d'autres patchs ont suivis (version 0.51 et 0.52 maintenant). Finalement, en retrouvant la bonne adresse email, l'auteur a répond qu'il était très content de notre initiative et l'a encouragée :-)

IPy est packagé Debian, Gentoo et Mandriva. INL a également préparé des paquets pour Debian Sarge. IPy fonctionne sur Python 2.2 à 2.5 et est indépendant de l'endian.

Victor Stinner aka Haypo

Hum, je lis ton commentaire un peu par hasard en vidant ma liste de liens favoris, t'as du bol :-)

Hachoir 0.6 n'a pas de parseur SWF, mais j'en ai développé un très récement dans la version trunk de hachoir-parser. Voir mes journaux :
http://linuxfr.org/~haypo/23051.html
http://linuxfr.org/~haypo/23039.html

Contacte la liste de diffusion (ou contacte moi directement) si tu veux plus d'infos. http://hachoir.org/wiki/Contact

Haypo

20¤/mois pour Noos ? C'est pas juste les premiers mois ?

J'ai aussi reçu de très mauvais échos de Noos sur Strasbourg...

Haypo qui est chez Free en dégroupage total (une seule facture : Free à 30¤ TTC/mois) : internet, télé, téléphone, tout marche nickel

Ah bon ? Je ne connaissais pas du tout (bien que j'ai déjà utilisé un outil swftools pour convertir une vidéo en .flv) :-) Je vais voir ça plus tard...

Haypo

Pour récupérer des fichiers téléchargés par Flash (ou autre), j'utilise LiveHTTPHeaders :
http://livehttpheaders.mozdev.org/

Il "suffit" de trouver les requêtes GET /(...).mp3, GET /(...).flv, etc. Puis concaténer la requête au "host: (...)" donné à la ligne suivante. Ce n'est pas trivial, mais au moins ça marche à tous les coups.

Pour youtube, il existe plein de plugins :
http://keepvid.com/
http://freshmeat.net/search/?q=youtube&section=projects

Voir d'ailleurs un fil de discussion sur Hachoir et youtube :
http://linuxfr.org/comments/753351.html#753351
--
Au sujet de la possibilité d'extraire la musique MP3 d'un fichier Flash... Ben tiens oui, ça pourrait être sympa :-) Tu m'envoies un fichier qui en contient un ? Je n'en ai pas trouvé de satisfaisant (il faut du MP3 qui dure au moins quelques secondes).

Haypo

Hum, j'ai oublié de préciser : si vous trouvez des bugs, envoyez moi vos fichiers SWF :-)

Haypo

Avec "./configure --prefix=/Program/Nom/Version" et deux/trois autres bidouilles ça doit marcher non ?

Selon la doc, GoboLinux semble conserver une arborescence classique (bin, etc, lib, etc.) pour chaque programme. Hum, ça doit faire beaucoup de dossiers tout ça :-)

Haypo

Je suis content que certains remettent en question les fondements d'UNIX :-) L'astuce des liens symboliques est pas mal et me semble plutôt simple. Le module noyau pour cacher des fichiers pourrait être récupéré pour d'autres distribs (qui a dit Ubuntu ?).

Par contre, je me demande si ça change quelque chose pour le packaging. Le plus gros boulot du packaging est de mettre un programme fonctionnel à l'issu de l'installation : l'intégrérer dans la distribution (ex: ajout d'icônes sur le bureau), configuration de base mais fonctionnelle, etc. Et la simplification de l'arborescence ne change pas grand chose sur ce point.

Est-ce qu'on peut désinstaller un programme en supprimant le dossier ? À ce que j'en comprend : les liens symboliques ne sont pas supprimés (mais seront invalides).

À voir aussi : FreeBSD pour Madame Michu =>http://www.quebecos.com/modules/news/article.php?storyid=202(...) (PC-BSD) (hop, de la pub pour un site québécois dans le même trempe que linuxfr.org) Sa gestion des paquets est assez originale.

Haypo

Adobe a racheté Macromedia qui est l'auteur de Flash. Ca explique ce rapprochement d'Adobe et de Flash :-)

Haypo

Salut, je ne sais pas comment faire mais je sais qu'on peut ajouter des méta-données dans les images JPEG et PNG. Tu pourrais y ajouter : ton nom, la licence, l'url vers ton site web. Ce n'est pas ça qui va empêcher le pillage, mais ça te servira de preuve.

Sinon, plus costaux, il y a le tatouage numérique : ajout de 'watermark' dans l'image. Mais encore une fois, ça ne va pas empêcher le pillage.

Par contre, pas le licence explicite ne veut pas dire que l'image est dans le domaine public ! Ce n'est pas parce qu'une voiture est garée dans la rue avec les clés qu'on peut l'emprunter pour faire les courses (contrairement à ce qu'une certaine pub a pu nous laisser croire).

Haypo

Hum, je pense que le coutournement d'un DRM demande des algos de déchiffrement. Je ne pense pas à ça, mais à montrer "tiens, ici y'a des trucs chiffrés", point. C'est légal en France ça.

Quels formats possèdent des DRM ? WM* et MOV ? Perso, je connais juste le flag "copyright" des MP3 :-)

Haypo

Hachoir ne développement jamais toutes les noeuds de l'arbre pour la simple et bonne raison que l'empreinte mémoire est au moins de 10x la taille du fichier. Alors pour faire un diff d'une image ISO par exemple, c'est pas trop possible :-) Il serait mieux d'avoir un diff binaire pour de localiser les modifications dans un des deux fichiers.

Haypo

Ben tiens justement ! J'avais essayé de le lancer, mais alors punaise... impossible de satisfaire ses dépendences. J'ai installé 4 ou 5 bibliothèques Java XML, mais j'ai pas trouvé la bonne.

J'aimerai beaucoup travailler avec pyConstruct (projet très similaire à Hachoir) et DataWorkshop, en particulier, il faudrait partager du code. Pourrais-tu me contacter par Jabber ? http://www.haypocalc.com/wiki/Victor_Stinner pour toutes mes coordonnées.

L'objectif à long terme, si c'est réalisable, serait de fédérer nos efforts pour définir une syntaxe commune pour les parseurs. Le but étant de pouvoir à partir de ça générer des structures C, du code Java, Python, etc. J'ai tout noté ici :
http://hachoir.org/ticket/32

Haypo

Les OS sont déjà développés comme ça, enfin, dans Bochs et Qemu.
http://bochs.sourceforge.net/
http://fabrice.bellard.free.fr/qemu/

Haypo

J'avais installé Hachoir 0.5 pour modifier une valeur dans un fichier jpeg. Bon finalement je l'avais pas fait car je crois que c'était pas possible avec cette version.

Non, j'ai tardé très longtemps pour développer la partie édition. En fait, nous avons d'abord terminé la partie "lecture". Ensuite, j'ai réfléchi très fort pour trouver un algo potable qui fonctionnerait avec Hachoir. Les contraintes sont assez lourdes : il faut pouvoir éditer un fichier qui est chargé partiellement en mémoire... J'avais tenté une première implémentation il y a quelques mois, mais elle était loin d'être concluante.

Pour l'édition d'un fichier dans Hachoir 0.6, seules les modifications sont stockées : nouvelles valeurs, champs ajoutés et champs supprimés. La lecture d'un fichier est donc plus "lente" (bon, ça reste du O(1), sauf pour la lecture de l'adresse qui est en O(n) <= à vérifier tout ça), mais par contre c'est plus flexible et plus rapide finalement à mon avis. L'empreinte mémoire est assez faible... ce qui déjà rend l'édition de gros fichier (1 Go ou plus) possible... et permettra à court terme d'implémenter un historique pour permettre d'annuler des modifications (comme l'historique Gimp).

Autre idée que j'ai eu récement : implémenter un hachoir-diff qui va comparer deux fichiers et noter les champs ajoutés / supprimés / édités. Il faudrait que je trouve un algo de comparaison de fichiers binaires.

Haypo

Je n'ai jamais rencontré de tels formats. En même temps, j'achète des cds audios, je n'ai jamais acheté de musique en ligne à part sur allofmp3.com (qui vend de la musique sans DRM). Il faudrait écrire un parseur pour ces formats là.

Mais d'une manière générale, Hachoir expose simplement les informations contenues dans un fichier, et il les expose toutes (enfin, il faut un bon parseur pour ça, et écrire un bon parseur nécessite de la bonne documentation). Donc, je pense que très certainement si DRM il y a, Hachoir le verra :-)

Haypo

Oui, c'est vrai que pour l'instant le seul moyen d'édition un fichier est d'attaquer l'API en Python. Il y a quelques exemples sur la page :
http://hachoir.org/wiki/HachoirEditor

Est ce que ça peut, par exemple modifier les chaînes de caractères dans un binaire ?

Il faut avoir un parseur pour le format que tu veux éditer. Mais une fois que le parseur est écrit, on manipule des objets Python qui vont s'occuper de convertir les données dasn le bon format. Pour une chaîne de caractère, Hachoir s'occupe d'ajouter le préfixe ou le suffixe (pour une chaîne C : ajoute "\0" à la fin, pour une chaîne Pascal : ajoute la longueur en préfixe) et je crois qu'il s'occupe aussi des charsets (ou si ce n'est pas le cas, il le fera très vite :-)). Pour les nombres, il va sérialiser les nombres selon la taille du champ et l'endian. Une liste incomplète et pas à jour des types peut se trouver là :
http://hachoir.org/wiki/WriteYourParser

Haypo

Ca existait : http://www.wormux.org/wiki/Image:wormux_xbill_bob.png.php

Mais depuis la version 0.4, il y a beaucoup de boulot sur les avatars. En particulier, avec la version 0.8 ils sont très complexe à créer mais ils sont beaucoup plus animés maintenant (on en recevait souvent la critique).

Pour les plus motivés, voici les anciens avatars qu'il faudrait adapter pour Wormux 0.8 :
http://www.wormux.org/wiki/en/old_skins.php
(j'adorerai une équipe South Park ou Mario Bros, mais je sais plus si on peut encore avoir plusieurs avatars pour une seule équipe)

Haypo

http://linuxfr.org/2004/02/26/15548.html - IBM demande à Sun de "libérer" Java
http://linuxfr.org/2004/03/05/15621.html - Sun refuse
http://linuxfr.org/2005/12/13/20055.html - SUN libère ses processeurs SPARC
http://linuxfr.org/2006/05/17/20827.html - Une licence plus permissive pour Java
http://linuxfr.org/2006/08/18/21210.html - Sun annonce la sortie prochaine de Java sous licence open source

Bref, c'est pas nouveau cette histoire de libération. Un petit tour sur Wikipédia m'indique que le langage date de 1990, il a donc 16 ans à peu près.

Perso, comme Frédérick, je me demande ce que ça va changer. Déjà, ce n'est pas tout Java qui va être libéreré. Ensuite, ça sera libéré sous une licence "regardez mais touchez pas" (enfin, un truc open source mais pas libre, CDDL est pas compatible GPL par exemple : on peut pas mélanger du code CDDL et du code GPL).

Enfin, moi j'attend de voir. En attendant, trollez bien :-)

Haypo

t'avais pas une ancienne version de wormux installée ?

J'avais déjà patché le fichier config.xml pour les incompatibilité entre les versions, il va falloir faire pareil pour les terrains et les skins. Càd ajouter un champ version.

Haypo