Zylabon a écrit 1384 commentaires

La crypto sert a rien => Le hardware c'est encore plus troué que le software

Please do not feed the trolls

Le https avec un certificat auto-signé c'est le chiffrement sans l'authentification (si le certificat est accepté aveuglément). c'est mieux que sans chiffrement ET sans authentification.

CERTAINEMENT PAS !!!

CERTAINEMENT !

Par exemple, pour voler mot passe sur une connexion HTTP il faut juste pouvoir écouter ce qui passe. La même sur une connexion HTTPS avec un certificat auto-signé, il faire un vrai man in the middle, se faire passer pour client auprès du serveur (ça, c'est facile) et se faire passer pour le serveur auprès du client, ça suppose de pouvoir être actif sur le réseau, ce qui exclus beaucoup d'attaques. Donc la sécurité qu'offre le HTTPS est strictement supérieure à celle qu'offre le HTTP. Dit autrement, et sauf erreur de ma part, il n'existe aucune attaque qui est possible sur le HTTPS mais pas sur le HTTP. Bref, le HTTPS est plus sûr.

Please do not feed the trolls

Par contre je suis absolument contre le certificat auto-signé. D'un point de vue utilisateur, c'est vraiment catastrophique: les gens prennent l'habitude d'accepter n'importe quoi, ce qui abaisse la sécurité globale.

Il y a une règle empirique que j'essaye de valider sur le net : Toute assertion débutant par « les gens » est une ânerie.

Je suis un utilisateur, et un "gens", et j'apprécie les certificats auto-signés. Comme beaucoup d'autres utilisateurs, et gens, je sais ce que je fais, et je ne m'habitue pas. Merci.

Please do not feed the trolls

Donc voilà : je m'interroge sur l'intérêt du HTTPS dans certains cas, encore plus quand on nous demande (ou force !) d'accepter un certificat auto-signé…

Même avec un certificat auto-signé, la sécurité du https est strictement supérieure à celle du http. Le https avec un certificat auto-signé c'est le chiffrement sans l'authentification (si le certificat est accepté aveuglément), c'est mieux que sans chiffrement ET sans authentification.

En revanche, je reconnais que j'aimerais avoir une grosse icône dans mon navigateur qui me rappelle que le certificat est auto-signé, et je regrette que la case "se souvenir du certificat pour les prochaines sessions" soit cochée par défaut.

Please do not feed the trolls

B) Le CPU et la RAM sont plus sollicités

C'est négligeable, cf : https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

De la crypto lourde c'est rien par rapport à des pages « légère » en php.

Please do not feed the trolls

Il suffit une somme de contrôle ou un padding aléatoire pour rendre cette attaque impossible. Mais tu as raison la méthode en elle même ne garanti effectivement pas l'intégrité en cas de clair connu.

Cette méthode offre des garanties très fortes ! La crypto asymétrique c'est très bien, ça marche, mais rien ne dit que des messages qui sont interceptés aujourd'hui ne seront pas stockés pour être déchiffré dans quelques années. Avec le masque jetable on a la garantie que jamais un message ne sera déchiffré sans la clé, jamais. Ça ne repose pas sur l'hypothèse qu'un adversaire n'a pas le temps, la technologie ou la connaissance pour le déchiffrer.

De nos jour échanger quelques mégas ou gigas données en main propre c'est pas très différent d'échanger une paire de clé publique, ou une clé secrète. Donc cette vielle méthode reposant sur une construction mathématique à la portée d'un gosse de 4 ans est tout a fait pertinente.

Please do not feed the trolls

C'est prise de tête pour Colette Michu d'accord, mais quand on est habitué aux langages de programmations, ça ne l'est pas.
La prise de tête c'est juste si on veut faire un truc très spécial avec un paquet qui ne s'y prête pas.

Après, certes, les messages d'erreur du compilateur présent dans les distros par défaut (je ne connais même pas son nom) aident peu en cas de problème.

Please do not feed the trolls

La stégano bien faite est indétectable, quand l'entropie d'un message est comparable à celle du bruit d'un capteur CCD par exemple, c'est facile de faire passer l'un pour l'autre.

Please do not feed the trolls

Seulement face à un adversaire passif, qui ne modifie pas les messages, n'intercepte pas la communication pour la rejouer avec l'interlocuteur putatif plus tard…

Non… Il est impossible de modifier un message sans la clé. Et retarder, ou bloquer un message est toujours possible, mais c'est pas un problème de crypto.

Please do not feed the trolls

Parce qu'il est impossible d'habiter une ferme sans passer 17h par jour à s'en occuper. Et parce qu'il est impossible de faire 5km à vélo pour aller bosser.

Please do not feed the trolls

Je crois que c'est bien de l'animal dont il s'agit https://fr.wikipedia.org/wiki/Paresseux

Please do not feed the trolls

Au pays des gens qui ne regardent ce qui se passe sur leur compte que quand il y a un gros problème ?

(J'y suis aussi ⁾

Please do not feed the trolls

J'ajouterais juste que le problème de la factorisation est dans P… Si on lui donne en entrée un nombre avec une représentation unaire ^{^}

Le codage des données est super important.

Please do not feed the trolls

• chiffrement asymétrique : cassable avec assez de puissance et/ou connaissance

• masque jetable : incassable, quelque soit la puissance, et le niveau de ceux qui s'y emploie.

J'ai un peu l'impression de lire ça :

− Tu veux un super coffre fort en adamantium avec toutes les sécurités dernier cri ?
− Non c'est bon, j'en ai un en bois, il a un super gros cadenas, c'est mieux

Absurde… Certes le coffre en adamantium est plus lourd, mais il est imperçable.

Please do not feed the trolls

Je trouve ça assez galère les téléphones à 10 touches pour les textos. Et je me demande bien si les vrais claviers azerty sont pratiques ou pas, car les touches ont quand même l'air très petites…

J'ai eu la même démarche que toi il y a quelques mois, avec les mêmes motivations, et j'en suis revenu à mon vieux stupid phone T9.

Les claviers "azerty" des smartphone ne sont pas des vrai clavier azerty, les touches sont tellement petite qu'il n'est pas possible d'atteindre la touche que tu vise. En gros tu tape à peu près n'importe quoi et c'est la correction orthographique qui fait tout le boulot. De plus, comme pour le t9, on tape a 2 doigts… ça ne va pas plus vite au final.

Un azerty physique peut être différent j'imagine, parce qu'en sentant les touches sous les doigts on doit beaucoup gagner en précision.

Please do not feed the trolls

Non, je ne devine pas. Comment faire le lien entre une connexion vers un site grand public et l'anon à qui on vient de donner le lien ?

Tu donne un lien a quelqu'un via messagerie instantanée, dans les x secondes le serveur qui héberge la page reçoit une nouvelle connexion, et le client demande précisément cette page.

Please do not feed the trolls

« Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire. »

Heu… Un sophisme assez grossier, ça m'étonne de la part d'un homme qui a oublié d'être con.

D'où est extraite la citation ?

Faut dire qu'Einstein, Roosevelt, et Jefferson sont les auteurs de la moitié des citations qu'on trouve sur le net, c'est suspect !

Please do not feed the trolls

À priori il y a une sécurisation assez solide pour ce genre de transactions, même avec la pire connexion du monde ça ne devrait pas poser de problème.

C'est quoi comme système d'exploitation ?

Ajout : Ça serait intéressant d'avoir l'adresse IP depuis laquelle on a effectué la transaction frauduleuse

Please do not feed the trolls

En effet d'après cette définition ce qu'on note = sur Q n'est qu'une relation d'équivalence.

De même pour R car 1 = 1.0 = 1.00 = 0.99999…

Please do not feed the trolls

Ça dépend aussi de la sémantique qu'on prête à a = b. Personnellement j'aime bien : a = b si toute propriété de a est une propriété de b et réciproquement.

Please do not feed the trolls

Pour les gosses ya ça aussi :

C'est du lambda calcul expliqué avec des œufs et des alligators.

http://worrydream.com/AlligatorEggs/

Ça amuse les vieux aussi :)

Please do not feed the trolls

Je ne comprend pas :

Un carré est un rectangle ?

Oui

Un rectangle est un carré ?

Non

Please do not feed the trolls

haaa trop tard pour éditer, je voulais préciser la syntaxe pour GHCI :

> let  { sum' :: Num a => [a] -> a ; sum' = foldl (+) 0 }
> :t sum'
sum' :: Num a => [a] -> a

Please do not feed the trolls

Ça ne marche pas parce que la restriction monomorphique est sur le paramètre de sum', pas celui de foldl' (+) 0

Dans cette page : http://www.haskell.org/haskellwiki/Monomorphism_restriction

Tu te trouve dans le cas :

-- This is not allowed
f4 = show

show est polymorphe, mais la restriction est sur le paramètre de f4

Tu dois typer sum'

let sum' :: Num a => [a] -> a
    sum' = foldl' (+) 0

La restriction monomorphique est vraiment moche…

Please do not feed the trolls

Je ne comprend pas de lien entre le propos, la référence, et la conclusion.

Ainsi tu ne peux pas faire des fonctions qui travaillent sur les réels privés des rationnels sauf si tu crées un nouveau type pour les représenter (ou que tu plantes si une condition n'est pas vérifiée).

Oui, il suffit de le faire. On a le droit, ainsi on créé un type T = R\Q, clairement T est un sous ensemble de R. Si tu as une instance de T tu peux la passer sans risque à une fonction qui veut une instance de R.

Il y a plein de langages de programmations qui autorise le programmeur à exprimer cette relation, en prog objet on appelle ça l'héritage. (Toute instance de T est une instance de R).

Please do not feed the trolls