>> Debian n'est pas une distribution dans laquelle les problèmes de type jeunesse de développement des logiciels peut intervenir.
C'est bien ce que je dis… L'avantage est pour la distro qui dès le départ empêche les emmerdes, pas celle qui les permet et dit « oh, mais si tu fais comme il est (très bien) indiqué ici, tu peux juste perdre 2 heures pour régler le problème ! »
Dans l'optique d'avoir un truc qui marche, autant prendre celui qui garantit qu'il marche, sans maintenance (hormis le trivial ./mise-à-jour.sh) nécessaire de la part de l'utilisateur.
C'est moi ou tu *refais* la même faute à « ferez » ?
Mais sinon, oui, wtf. Je voulais le signaler, mais tu l'avais déjà fait ici.
(Et sinon, pourquoi un « s » à « dus » et à « aurais » ? Pourquoi un « x » à « veux » ? Allez ! Applique toi !)
Ça, c'est un faux avantage, car quand on utilise un distro comme debian et sans doute d'autres que je ne connais pas assez bien, on n'a pas de problème comme « épendances non résolues, ajout nécessaire d'une option de compilation, paquets qui risquent d'être cassés. »
C'est donc la moindre des choses, mais pas un avantage, non.
Euh, mais s'ils ont chacun leur serveur, c'est foutu, non ?
Si encore ils avaient le même serveur, ça serait peut-être possible, dirais-je, mais sinon, la migration à chaud, j'y crois pas trop.
Dans le pire des cas, un switch sur la sortie vidéo, et tu utilises ta télé à la place de l'écran de ton ordi…
Moi, oui, beaucoup d'autres, non, j'en suis sûr.
Après, je ne connais pas assez Android pour savoir ce qu'on peut sauvegarder ou pas quand on est un utilisateur de base.
>> Ben, il me semble que maintenant tu peux effectuer des paiements avec ton mobile.
Si tu penses à ce que je pense, c'est pas une carte bleue, c'est un porte-monnaie électronique. Impossible d'acheter une télévision ou un voiture avec. Je suis certain que la quantité d'argent que tu peux utiliser/charger est limitée. Et ça passe par un contact physique avec un borne, comme du RFID, quoi. T'as pas envie qu'on te vole 10 €, certes, mais ce n'est tout de même pas un système_critique.
En gros, mes données sont dans *mon* /home, pas dans celui d'un autre utilisateur, ni dans /root.
Si mon compte est compromis, tout mon travail l'est. Pas forcément l'OS, mais après avoir perdu mon /home, le reste du système, j'en ai plus grand chose à faire, hein…
>> Pour toi la probabilité de te faire vérolé est la même entre une iso openBSD téléchargé sur le site officiel et une version d'openBSD, sans le code source, modifié et distribuée par les Chinois ?
C'est pas OpenBSD, mais c'est pas mal non plus : http://forums.unrealircd.com/viewtopic.php?t=6562
La probabilité n'est pas la même, mais je suis certain que pas mal de gens essayent de hacker les serveurs d'OpenBSD et ceux d'Android. Surtout Android, d'ailleurs, vu le nombre d'utilisateurs plus conséquent, et moins qualifiés.
>> Donc je me demande, avez-vous une idée pour améliorer cette sécurité locale ? Que voudriez-vous à la place ?
Dans la mesure où le téléphone n'est pas critique, la solution est « on laisse comme ça. »
La sécurité est toujours au dépend de l'accessibilité. Un système très sûr est relativement facile à concevoir (imposer l'utilisation de langages qui empêche les buffers overflows pour le développement d'application, demander le mot de passe à chaque fois qu'on désire passer un appel ou envoyer un SMS, isoler chaque logiciel et les empêcher de communiquer, demander que tout logiciel installable soit certifié par un organisme autoritaire, chiffrer toutes les données et demander la clef à chaque lecture, etc).
Avec ça, tu réduis *drastiquement* les problèmes. Et le nombre d'utilisateurs aussi. Alors on tranche : tant pis pour la sécurité, et vive l'utilisabilité.
Bon, c'est un apparemment cheval de Troie basique, et facile à nettoyer.
"The Trojan arrives on the device as part of repackaged versions of legitimate applications."
Je sais pas comment marche android, mais vu qu'il accède à la liste des contacts, s'il pouvait se forwarder, il aurait un impact bien plus élevé. Peut-on envoyer une « application.jpg.sh » d'un android à un autre, et tromper l'utilisateur en face comme sur outlook dans les années 90 ?
>> Désolé, mais un programme qui a besoin d'une action utilisateur pour pouvoir se dupliquer/répandre, n'est pas un virus.
Euh, un virus est justement une appli— ou plutôt un bout de code d'une appli —qui a besoin d'une action utilisateur pour se dupliquer. Traditionnellement, l'action, c'est « lancer un logiciel infecté. » Mais tu avais déjà il y a 20 ans des variantes à base d'« insérer une disquette infectée. »
C'est cette action de l'utilisateur qui déclenche la réplication du virus, à la différence d'un vers qui va utiliser des failles logicielles pour s'installer tout seul, et se propager sans que l'utilisateur le sache (de préférence).
T'as jamais mis du code dans la crontab d'un l'utilisateur, son .profile, son .bashrc, son .griprc ?
Moi non plus, car c'est mal. Je n'ai jamais fait de rootkit uniquement en utilisant les fichiers de conf du compte d'un ami. Et il n'a jamais su que c'était moi, vu que c'était pas moi, je suis innocent, je l'ai dit. Je n'avais pas non plus modifié le code source des logiciels qu'il développait pour recharger le root-kit au cas où.
>> Donc oui, c'est la faute du dépot, pas du système Android.
Faudra quand même sans doute revoir l'argument « c'est linux, donc il n'y a pas de virus ! » qui fait croire un peu facilement que tout est garanti sûr.
Car bon, vu le déploiement du cheval de troie, j'imagine qu'on peut facilement dumper un vrai virus ou un vers qui se propage, même si plus difficilement que sous windows. Vu que le logiciel peut téléphoner, il peut très bien s'envoyer à tes contacts, non ?
Et si tu m'envoies pigeon.deb, je ne l'ouvrirai probablement pas. Mais si je le forwarde à ta voisine de pallier, en rajoutant « mdr, trop drôle ! Ce que c'est idiot un pigeon ! » je suis certain que ça va marcher.
Pour faire simple, en me cantonnant à quelques remarques :
− une phrase commence par une majuscule,
− il y a des « à » qui doivent prendre un accent (qui est sur ton clavier, je le sais !),
− pas d'espace avant une virgule,
− pas d'espace avant une parenthèse fermante,
− pas d'espace avant des points de suspension,
- « je » est singulier (et je pense même masculin dans le cas présent).
Je laisse passer les autres fautes de grammaire, orthographe, et conjugaison, mais ton journal était franchement pénible à lire là…
Attends, je crois que mon message n'est pas passé.
Je ne parle pas d'une question de goût qu'on pourrait retrouver dans le choix du langage de programmation, C++, APL ou Haskell. Je parle d'un formalisme canonique dans lequel raisonner, de fondements.
Quelque soit le langage utilisé, si tu ne sais pas évaluer une formule logique du genre x \/ ¬x tu ne devrais pas programmer, ni en C++, ni en Java, ni en prolog ou quoi que ce soit.
Si la cible à laquelle est destinée le logiciel n'est pas capable de comprendre la logique sous-jacente, alors il y a je crois un problème ; et ce n'est pas écrire en anglais (même si c'est ta langue maternelle) qui va améliorer quoi que ce soit.
Pour résumer, soit
1/ l'utilisateur est compétent en logique, et je pense alors qu'imposer l'anglais est un choix ségrégatif à l'égard de nombreuses cultures
2/ l'utilisateur est incompétent en logique, et je pense alors que le logiciel n'est pas fait pour lui.
2 bis/ il faudra engager un logicien pour faire ce travail, car ça n'est pas forcément celui du dev, même s'il de la programmation est requise.
Il y a tellement de gens dont la langue maternelle n'est pas basé sur du sujet/verbe/complément que même s'ils sont capables de communiquer avec d'autres en anglais (médiocre), ils seront incapables de s'exprimer formellement pour interagir avec le logiciel.
L'avantage du langage logique est qu'il permet de s'abstraire de ce problème : tu peux raisonner dans ta langue maternelle, et tu peux t'exprimer plus facilement, je le crois¹, en langage logique avec un entraînement vraiment minime.
¹ : C'est quelqu'un qui vit entouré de gens qui font de l'anglais depuis le primaire/collège et qui s'expriment à base de « let's eating râmen, this is Japanese noodle. » pour les plus loquaces qui te le dit…
[^] # Re: Gentoo
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Au revoir Ubuntu, bonjour Squeeze. Évalué à 2.
C'est bien ce que je dis… L'avantage est pour la distro qui dès le départ empêche les emmerdes, pas celle qui les permet et dit « oh, mais si tu fais comme il est (très bien) indiqué ici, tu peux juste perdre 2 heures pour régler le problème ! »
Dans l'optique d'avoir un truc qui marche, autant prendre celui qui garantit qu'il marche, sans maintenance (hormis le trivial ./mise-à-jour.sh) nécessaire de la part de l'utilisateur.
[^] # Re: Free Français Database
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Free Poker Database. Évalué à 2.
Mais sinon, oui, wtf. Je voulais le signaler, mais tu l'avais déjà fait ici.
(Et sinon, pourquoi un « s » à « dus » et à « aurais » ? Pourquoi un « x » à « veux » ? Allez ! Applique toi !)
[^] # Re: Gentoo
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Au revoir Ubuntu, bonjour Squeeze. Évalué à 2.
C'est donc la moindre des choses, mais pas un avantage, non.
[^] # Re: Gentoo
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Au revoir Ubuntu, bonjour Squeeze. Évalué à 5.
Ouais…
T'as pas l'impression de dire une chose et son contraire, mais alors bien ?
[^] # Re: Pour ou contre ?
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal la peine de mort pour les spammeurs. Évalué à 2.
[http://thedailywtf.com/Articles/What_Is_Truth_0x3f_.aspx]
[^] # Re: Tortues
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse à la dépêche Sortie de GNU Recutils 1.1. Évalué à 3.
Parce que rectum ?
# Dur, non ?
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au message pour transferer une fenetre d'une session X locale à une session X distance et vice/versa. Évalué à 3.
Si encore ils avaient le même serveur, ça serait peut-être possible, dirais-je, mais sinon, la migration à chaud, j'y crois pas trop.
Dans le pire des cas, un switch sur la sortie vidéo, et tu utilises ta télé à la place de l'écran de ton ordi…
[^] # Re: Aïe ! _Mes yeux !_ Mon coeur
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Revendication pour un net viable par le CCC. Évalué à 2.
D'après moi, oui, il est très important de défendre la langue française, oui. Ou au moins de ne pas la malmener.
>> (non, parceque j'apprecie beaucoup l'ironie de parler de respect de la langue en collant une url raccourcie)
Aucun rapport entre la langue et les URL raccourcies fournies par un service utile : wikipedia over dns [https://dgl.cx/wikipedia-dns]
Et détrompe-toi, des sites sur le français et d'autres langues, j'en ai déjà. Ça te serait bien profitable d'ailleurs, comme tu le signales.
[^] # Re: Félicitations aux participants pour leurs efforts et tout ça.
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse à la dépêche Fin du concours LinuxFr.org. Évalué à 6.
[^] # Re: Trop gros
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 2.
Après, je ne connais pas assez Android pour savoir ce qu'on peut sauvegarder ou pas quand on est un utilisateur de base.
[^] # Re: Trop gros
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 1.
T'as combien d'utilisateurs humains avec chacun un compte sur ton téléphone Android ?
[^] # Re: Vivre dans un monde meilleur...
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 2.
Si tu penses à ce que je pense, c'est pas une carte bleue, c'est un porte-monnaie électronique. Impossible d'acheter une télévision ou un voiture avec. Je suis certain que la quantité d'argent que tu peux utiliser/charger est limitée. Et ça passe par un contact physique avec un borne, comme du RFID, quoi. T'as pas envie qu'on te vole 10 €, certes, mais ce n'est tout de même pas un système_critique.
[^] # Re: Trop gros
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 4.
Si mon compte est compromis, tout mon travail l'est. Pas forcément l'OS, mais après avoir perdu mon /home, le reste du système, j'en ai plus grand chose à faire, hein…
C'est *ça* qui est important…
[^] # Re: Je cite Reuters
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 2.
C'est pas OpenBSD, mais c'est pas mal non plus : http://forums.unrealircd.com/viewtopic.php?t=6562
La probabilité n'est pas la même, mais je suis certain que pas mal de gens essayent de hacker les serveurs d'OpenBSD et ceux d'Android. Surtout Android, d'ailleurs, vu le nombre d'utilisateurs plus conséquent, et moins qualifiés.
[^] # Re: Vivre dans un monde meilleur...
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 4.
Dans la mesure où le téléphone n'est pas critique, la solution est « on laisse comme ça. »
La sécurité est toujours au dépend de l'accessibilité. Un système très sûr est relativement facile à concevoir (imposer l'utilisation de langages qui empêche les buffers overflows pour le développement d'application, demander le mot de passe à chaque fois qu'on désire passer un appel ou envoyer un SMS, isoler chaque logiciel et les empêcher de communiquer, demander que tout logiciel installable soit certifié par un organisme autoritaire, chiffrer toutes les données et demander la clef à chaque lecture, etc).
Avec ça, tu réduis *drastiquement* les problèmes. Et le nombre d'utilisateurs aussi. Alors on tranche : tant pis pour la sécurité, et vive l'utilisabilité.
# Plus de détails techniques
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 2.
http://www.symantec.com/security_response/writeup.jsp?docid=(...)
Bon, c'est un apparemment cheval de Troie basique, et facile à nettoyer.
"The Trojan arrives on the device as part of repackaged versions of legitimate applications."
Je sais pas comment marche android, mais vu qu'il accède à la liste des contacts, s'il pouvait se forwarder, il aurait un impact bien plus élevé. Peut-on envoyer une « application.jpg.sh » d'un android à un autre, et tromper l'utilisateur en face comme sur outlook dans les années 90 ?
[^] # Re: Je cite Reuters
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 2.
Euh, un virus est justement une appli— ou plutôt un bout de code d'une appli —qui a besoin d'une action utilisateur pour se dupliquer. Traditionnellement, l'action, c'est « lancer un logiciel infecté. » Mais tu avais déjà il y a 20 ans des variantes à base d'« insérer une disquette infectée. »
C'est cette action de l'utilisateur qui déclenche la réplication du virus, à la différence d'un vers qui va utiliser des failles logicielles pour s'installer tout seul, et se propager sans que l'utilisateur le sache (de préférence).
[^] # Re: Mauvais admin, changer admin.
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 10.
Moi non plus, car c'est mal. Je n'ai jamais fait de rootkit uniquement en utilisant les fichiers de conf du compte d'un ami. Et il n'a jamais su que c'était moi, vu que c'était pas moi, je suis innocent, je l'ai dit. Je n'avais pas non plus modifié le code source des logiciels qu'il développait pour recharger le root-kit au cas où.
[^] # Re: Je cite Reuters
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à -5.
Faudra quand même sans doute revoir l'argument « c'est linux, donc il n'y a pas de virus ! » qui fait croire un peu facilement que tout est garanti sûr.
Car bon, vu le déploiement du cheval de troie, j'imagine qu'on peut facilement dumper un vrai virus ou un vers qui se propage, même si plus difficilement que sous windows. Vu que le logiciel peut téléphoner, il peut très bien s'envoyer à tes contacts, non ?
Et si tu m'envoies pigeon.deb, je ne l'ouvrirai probablement pas. Mais si je le forwarde à ta voisine de pallier, en rajoutant « mdr, trop drôle ! Ce que c'est idiot un pigeon ! » je suis certain que ça va marcher.
[^] # Re: Mauvais admin, changer admin.
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Android et virus. Évalué à 10.
alias rm='rm -rf'dans son .zshrc, car c'est un vrai BOFH.[^] # Re: mondo rescue
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au message image système. Évalué à 3.
Je ne crois pas non plus que « détarrer » dans /home/user soit une bonne idée non plus.
# Aïe ! Mes yeux !
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse au journal Revendication pour un net viable par le CCC. Évalué à 2.
− une phrase commence par une majuscule,
− il y a des « à » qui doivent prendre un accent (qui est sur ton clavier, je le sais !),
− pas d'espace avant une virgule,
− pas d'espace avant une parenthèse fermante,
− pas d'espace avant des points de suspension,
- « je » est singulier (et je pense même masculin dans le cas présent).
Je laisse passer les autres fautes de grammaire, orthographe, et conjugaison, mais ton journal était franchement pénible à lire là…
(Lucky Lukes de [http://a.vu/w:Muphry's_law], je vous attends !)
[^] # Re: Bingo !
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse à la dépêche Attempto Controlled English. Évalué à 4.
Je ne parle pas d'une question de goût qu'on pourrait retrouver dans le choix du langage de programmation, C++, APL ou Haskell. Je parle d'un formalisme canonique dans lequel raisonner, de fondements.
Quelque soit le langage utilisé, si tu ne sais pas évaluer une formule logique du genre x \/ ¬x tu ne devrais pas programmer, ni en C++, ni en Java, ni en prolog ou quoi que ce soit.
Si la cible à laquelle est destinée le logiciel n'est pas capable de comprendre la logique sous-jacente, alors il y a je crois un problème ; et ce n'est pas écrire en anglais (même si c'est ta langue maternelle) qui va améliorer quoi que ce soit.
Pour résumer, soit
1/ l'utilisateur est compétent en logique, et je pense alors qu'imposer l'anglais est un choix ségrégatif à l'égard de nombreuses cultures
2/ l'utilisateur est incompétent en logique, et je pense alors que le logiciel n'est pas fait pour lui.
2 bis/ il faudra engager un logicien pour faire ce travail, car ça n'est pas forcément celui du dev, même s'il de la programmation est requise.
[^] # Re: À quand
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse à la dépêche Agrémentez votre JavaScript avec CoffeeScript 1.0. Évalué à 2.
(Ça me rappelle une anecdote marrante : [http://perl.plover.com/yak/12views/samples/notes.html#sl-9]
[^] # Re: Bingo !
Posté par Axioplase ıɥs∀ (site web personnel) . En réponse à la dépêche Attempto Controlled English. Évalué à 2.
L'avantage du langage logique est qu'il permet de s'abstraire de ce problème : tu peux raisonner dans ta langue maternelle, et tu peux t'exprimer plus facilement, je le crois¹, en langage logique avec un entraînement vraiment minime.
¹ : C'est quelqu'un qui vit entouré de gens qui font de l'anglais depuis le primaire/collège et qui s'expriment à base de « let's eating râmen, this is Japanese noodle. » pour les plus loquaces qui te le dit…