J'ai l'impression que le journal de Tankey n'a pas été compris. Au lieu d'y voir une bidouille pour occuper ses nuits blanches, il montre qu'il est possible l'installation d'un code indépendant de l'os et du processeur, au plus bas niveau de l'ordinateur.
Dans le même ordre idée, le fait que l'OS puisse mettre à jour le microcode du cpu me laisse présager aussi un beau dossier d'ici quelques années. J'ignore si les interruptions du bios sont encore accessibles à cette étape du chargement, mais on dispose d'un accès au matériel et au système sans limite…
Bien sûr on peut tout imaginer… on peut même imaginer une caméra placée sur l'immeuble situé de l'autre côté de la rue qui utilise le reflet des fenêtres pour détecter les vibrations et reconstruire le son.
Sauf que, pour parvenir à extraire de l'information, il faut que l'angle soit idéal entre la caméra et la surface filmée (comme dit dans leur pdf, 5.2), et je ne suis pas sûr que puisse être mis en pratique. Si Eve est déjà dans le bureau, elle a d'autres moyens pour récupérer les informations que de placer une caméra au bon endroit pour filmer un paquet de chips…
La version que j'ai donné n'est pas compréhensible naturellement, ce qui l'écarte déjà de 90% des usages normaux. (sauf à vouloir chercher la performance, ou écrire une librairie spécialisée).
Merci beaucoup pour cette dépêche, qui présente à la fois clairement ce qu'est coq, mais aussi de donner le cadre théorique qui se trouve derrière.
Je découvre toute la théorie des types à l'envers, c'est à dire que je pars du code pour comprendre les concepts qui sont appliqués plutôt que d'avoir une vision de la théorie et voir comment elle est mise en place dans un langage, mais c'est un domaine qui m'intéresse de plus en plus.
Merci beaucoup à linuxfr et ses dépêches, sans qui je n'aurai pas eu la curiosité de tester Scala, puis OCaml, et de fil en aiguille de m'initier à tout un pan des mathématique que j'applique tous les jours sans m'en rendre compte.
Je pense que pour un jeu de poker qui ne cherche pas à gérer de l'argent, on s'en fout un peu de l'algorithme de mélange. Il n'y a pas besoin d'être vraiment aléatoire, vu qu'il n'y a pas de sécurité là dessus. C'est un jeu, le but c'est de prendre du plaisir.
Mais comme tu es parti dans les explications techniques dans ton annonce, les commentaires sont partis sur la technique et une fois que c'est lancé, difficile de les arrêter… (et vu que ton site est toujours inaccessible, on ne risque pas de voir le code pour l'instant, et les réponses se font sur ce dont on dispose, ça n'aide pas).
Au final, c'est courageux de ta part de t'être lancé dans le projet, et courageux de ta part d'être venu l'annoncer ici. Ne te focalise pas trop sur les réponses techniques négative, l'important c'est de prendre du plaisir dans ce que tu fais !
Faire un jeu de poker est compliqué, ça demande des notions en intelligence artificielle, statistiques, algorithmie, combinatoire et d'après ce que tu sembles dire, le jeu est loin d'être terminé, mais l'initiative et louable et n'abandonne pas pour si peu !
Par défaut fail2ban ne bloque que durant 5mn, en cas d'erreur c'est quand même pas la mort… Après si tu changes le paramétrage pour tout bloquer, personne n'y peut rien !
# "bantime" is the number of seconds that a host is banned.bantime=600# A host is banned if it has generated "maxretry" during the last "findtime"# seconds.findtime=600maxretry=3
Et ils ont cassé la compatibilité avec la version 1 ? (-:
C'est aussi le modèle que nous avons suivi (sans le savoir) en le couplant a la gestion des versions sur svn (oui j'ai sais…) :
nos branches sont versionnees sur les deux premier numero, alors que les tags, qui correspondent aux versions livrées, incluent également le 3ème numéro de la version. Finalement ca marche assez bien : tant que la branche reste ouverte, on se donne le droit d'apporter des corrections, par contre la compatibilité de l'Api entre deux branches n'est pas garantie.
…le problème risque de revenir si l'on n'a pas compris ce qui a merdé.
Quelle que soit la décision prise, il ne faut surtout pas la prendre à chaud. La priorité pour moi est de couper le service (il y a déjà suffisamment de spam sur le net, inutile d'en rajouter), mais surtout pas de réinstaller tout de suite, ni redémarrer la machine ( pour ne pas perdre le /tmp )
À tête reposée :
Identifier les sites
lister les sites installés sur le serveur (surtout ceux en php)
lister les sites qui n'ont pas été installés via les paquets officiels
lister tous les plugins intallés
Archiver les logs.
Faire des recherches à coup de find pour voir ce qui a été modifié récemment, dans les répertoires accessibles par tomcat; regarder aussi ce qui traîne dans /tmp, /var/tmp etc…
Analyser, décortiquer, comprendre
Corriger : est-ce qu'il manque des règles fail2ban, est-ce qu'il faut installer modsecurity etc.
et seulement alors on peut réinstaller. La sécurité ne s'improvise pas, mais on ne l'apprend souvent qu'après coup…
www-data est l'utilisateur du serveur web sous debian.
Tu as donc un site avec une faille de sécurité qui a été exploitée, et ton pc est maintenant vérolé.
Tu constate l'envoi de mail, mais il est probable que d'autres actions soient réalisées sans que tu ne t'en rende compte : il est probable que ton serveur soit contrôlé à distance via IRC (pour envoyer des mails, servir d'espace de téléchargement, scanner d'autres sites vulnérables, ou tout ce que tu peux imaginer).
Commence par arrêter ton serveur web, et il va falloir prendre le temps de décortiquer ce qui ne tourne plus rond :
Je suis convaincu que le logiciel libre est indissociable des plates-formes d'échanges (forums, mailing-list, chats, …), avant tout pour des raisons techniques (échanger avec des développeurs qui ne travaillent pas dans le même bureau que nous), mais qui sont devenues aujourd'hui des raisons structurantes (construire une communauté autour d'un produit).
C'est de là que vient toute l'effervescence que l'on retrouve (troll, besoin de développer des arguments construits), et la diffusion des idées qui ne sont pas proprement techniques, mais qui traversent les échanges liés au libre.
On y trouve un style d'échange, qui me fait penser à la manière dont travaillaient les membres du courant de la philosophie analytique — qui n'avaient pas d'autres canal que le langage pour échanger sur le sens des mots (je vous laisse imaginer les échanges) — énormément de discussions, avancées, retour arrière, conflit, qui font qu'un écosystème avance.
Je ne sais pas s'il y a eu des personnes qui se sont intéressées à la structure des changes dans le libre (je ne parle de la cathédrale et du bazar), mais j'ai l'impression que cette manière de discuter et en train de se généraliser de plus en plus dans les projets : moins de formalisme, plus d'importance donné au sens ; et bien sûr un joyeux bordel…
[^] # Re: Question
Posté par chimrod (site web personnel) . En réponse au journal De Snowden, Kaspersky, CitizenFour et Gemalto. Évalué à 6.
J'ai l'impression que le journal de Tankey n'a pas été compris. Au lieu d'y voir une bidouille pour occuper ses nuits blanches, il montre qu'il est possible l'installation d'un code indépendant de l'os et du processeur, au plus bas niveau de l'ordinateur.
Dans le même ordre idée, le fait que l'OS puisse mettre à jour le microcode du cpu me laisse présager aussi un beau dossier d'ici quelques années. J'ignore si les interruptions du bios sont encore accessibles à cette étape du chargement, mais on dispose d'un accès au matériel et au système sans limite…
# Et en pratique ?
Posté par chimrod (site web personnel) . En réponse à la dépêche Pour plus de sécurité au bureau, évitez les chips (ou alors, chuchotez) !. Évalué à 3.
Bien sûr on peut tout imaginer… on peut même imaginer une caméra placée sur l'immeuble situé de l'autre côté de la rue qui utilise le reflet des fenêtres pour détecter les vibrations et reconstruire le son.
Sauf que, pour parvenir à extraire de l'information, il faut que l'angle soit idéal entre la caméra et la surface filmée (comme dit dans leur pdf, 5.2), et je ne suis pas sûr que puisse être mis en pratique. Si Eve est déjà dans le bureau, elle a d'autres moyens pour récupérer les informations que de placer une caméra au bon endroit pour filmer un paquet de chips…
Tiens, voilà le xkcd qui résume ce que je pense de tout ça : https://xkcd.com/669/
[^] # Re: Un petit lien
Posté par chimrod (site web personnel) . En réponse au message Analyse d'une adresse IP. Évalué à 2.
On en arrive souvent à des monstruosités, comme celle-ci pour vérifier une adresse courriel…
# Un petit lien
Posté par chimrod (site web personnel) . En réponse au message Analyse d'une adresse IP. Évalué à 3.
Qui pourra t'aider : http://rubular.com/
Si tu ne connais pas encore les regex, c'est le moment de t'y mettre ; la syntaxe est la même avec java, sed, perl…
Une fois que tu te seras bien amusé avec, tu pourras trouver des regex prêtes à l'emploi, mais c'est plus amusant de sortir le doliprane avant…
[^] # Re: Pas libre
Posté par chimrod (site web personnel) . En réponse au message Licence CC avec clause non commerciale. Évalué à 3.
Allez, puisque c'est vendredi, et pour occuper le week-end :
Soit R la relation définie par : x est en relation avec y si x est compatible avec y
Soit l'ensemble E = {GPLv2, GPLv3, AGPL, LPGL, BSD, MIT, ASL (Apache), MPL(Mozilla), WTFPL, CC-BY-* , CC-BY-NC-* , Artistic License}
Faire le diagramme cartésien de R sur E
R est-elle symétrique, anti-symétrique, transitive ?
En déduire si R est-elle une relation d'ordre. (on suppose pour cela que R est réflexive)
[^] # Re: Idris
Posté par chimrod (site web personnel) . En réponse à la dépêche Sortie de Coq 8.5 bêta, un assistant de preuve formelle. Évalué à 6.
Mais non, il suffit de passer l'algorithme dans un assistant de preuve ^ ^
[^] # Re: Idris
Posté par chimrod (site web personnel) . En réponse à la dépêche Sortie de Coq 8.5 bêta, un assistant de preuve formelle. Évalué à 4.
Si x > y ton code ne fonctionne pas…
[^] # Re: Idris
Posté par chimrod (site web personnel) . En réponse à la dépêche Sortie de Coq 8.5 bêta, un assistant de preuve formelle. Évalué à 1.
Je suis parfaitement d'accord.
La version que j'ai donné n'est pas compréhensible naturellement, ce qui l'écarte déjà de 90% des usages normaux. (sauf à vouloir chercher la performance, ou écrire une librairie spécialisée).
[^] # Re: Idris
Posté par chimrod (site web personnel) . En réponse à la dépêche Sortie de Coq 8.5 bêta, un assistant de preuve formelle. Évalué à 4.
En fait avec les bonnes parenthèses ça donne :
[^] # Re: Idris
Posté par chimrod (site web personnel) . En réponse à la dépêche Sortie de Coq 8.5 bêta, un assistant de preuve formelle. Évalué à 4.
Il y a un très bon bouquin qui aborde ce genre de questions : Hacker's Delight
Une version pdf est également disponible. Donc la moyenne peut être calculée par (section 2.5) :
(avec une opération de décalage de bit non signée).
Qui dit mieux ? :)
# redmine
Posté par chimrod (site web personnel) . En réponse au message Petit site pour association . Évalué à 2.
Pour la copropriété de ma résidence, j'ai installé redmine. D'une parce que je connais, et deux parce que ça fait plein de chose :
# Merci
Posté par chimrod (site web personnel) . En réponse à la dépêche Sortie de Coq 8.5 bêta, un assistant de preuve formelle. Évalué à 10.
Merci beaucoup pour cette dépêche, qui présente à la fois clairement ce qu'est coq, mais aussi de donner le cadre théorique qui se trouve derrière.
Je découvre toute la théorie des types à l'envers, c'est à dire que je pars du code pour comprendre les concepts qui sont appliqués plutôt que d'avoir une vision de la théorie et voir comment elle est mise en place dans un langage, mais c'est un domaine qui m'intéresse de plus en plus.
Merci beaucoup à linuxfr et ses dépêches, sans qui je n'aurai pas eu la curiosité de tester Scala, puis OCaml, et de fil en aiguille de m'initier à tout un pan des mathématique que j'applique tous les jours sans m'en rendre compte.
[^] # Re: Mélange des cartes
Posté par chimrod (site web personnel) . En réponse au message Jeu de poker pour Linux.. Évalué à 6.
Bon, on va essayer de sortir un peu du débat…
Je pense que pour un jeu de poker qui ne cherche pas à gérer de l'argent, on s'en fout un peu de l'algorithme de mélange. Il n'y a pas besoin d'être vraiment aléatoire, vu qu'il n'y a pas de sécurité là dessus. C'est un jeu, le but c'est de prendre du plaisir.
Mais comme tu es parti dans les explications techniques dans ton annonce, les commentaires sont partis sur la technique et une fois que c'est lancé, difficile de les arrêter… (et vu que ton site est toujours inaccessible, on ne risque pas de voir le code pour l'instant, et les réponses se font sur ce dont on dispose, ça n'aide pas).
Au final, c'est courageux de ta part de t'être lancé dans le projet, et courageux de ta part d'être venu l'annoncer ici. Ne te focalise pas trop sur les réponses techniques négative, l'important c'est de prendre du plaisir dans ce que tu fais !
Faire un jeu de poker est compliqué, ça demande des notions en intelligence artificielle, statistiques, algorithmie, combinatoire et d'après ce que tu sembles dire, le jeu est loin d'être terminé, mais l'initiative et louable et n'abandonne pas pour si peu !
# Erreur 403
Posté par chimrod (site web personnel) . En réponse au message Jeu de poker pour Linux.. Évalué à 3.
Ton serveur IIS ne semble pas aimer python :
# À lire pour commencer
Posté par chimrod (site web personnel) . En réponse au message Exercice URGENT . Évalué à 5.
https://linuxfr.org/forums/programmation-c--2/posts/j-arrive-pas-a-comprendre-ce-programme#comment-1565011
[^] # Re: Un bookmark légèrement plus fourni ?
Posté par chimrod (site web personnel) . En réponse au journal Weboob, la consécration. Évalué à 4.
Toi t'as pas connu « Le virus informatique » !
[^] # Re: Il est conseillé de changer de port
Posté par chimrod (site web personnel) . En réponse au journal Espionnage sur le net : des nouvelles du front. Évalué à 2.
Par défaut fail2ban ne bloque que durant 5mn, en cas d'erreur c'est quand même pas la mort… Après si tu changes le paramétrage pour tout bloquer, personne n'y peut rien !
[^] # Re: Étrange...
Posté par chimrod (site web personnel) . En réponse au journal Espionnage sur le net : des nouvelles du front. Évalué à 10.
Étrange, est-ce que tu peux nous envoyer la clef pour qu'on je regarde ça ?
[^] # Re: Changelog?
Posté par chimrod (site web personnel) . En réponse à la dépêche Gestion sémantique de version. Évalué à 5.
Je sais maintenant qu'écrire des commentaires dans le train avec son smartphone n'est pas une bonne idée !
[^] # Re: Changelog?
Posté par chimrod (site web personnel) . En réponse à la dépêche Gestion sémantique de version. Évalué à 2.
Et ils ont cassé la compatibilité avec la version 1 ? (-:
C'est aussi le modèle que nous avons suivi (sans le savoir) en le couplant a la gestion des versions sur svn (oui j'ai sais…) :
nos branches sont versionnees sur les deux premier numero, alors que les tags, qui correspondent aux versions livrées, incluent également le 3ème numéro de la version. Finalement ca marche assez bien : tant que la branche reste ouverte, on se donne le droit d'apporter des corrections, par contre la compatibilité de l'Api entre deux branches n'est pas garantie.
[^] # Re: sans vouloir faire le truc de mauvaise augure
Posté par chimrod (site web personnel) . En réponse au message Probleme de spam à partir de mon serveur. Évalué à 5.
…le problème risque de revenir si l'on n'a pas compris ce qui a merdé.
Quelle que soit la décision prise, il ne faut surtout pas la prendre à chaud. La priorité pour moi est de couper le service (il y a déjà suffisamment de spam sur le net, inutile d'en rajouter), mais surtout pas de réinstaller tout de suite, ni redémarrer la machine ( pour ne pas perdre le /tmp )
À tête reposée :
Identifier les sites
Archiver les logs.
Faire des recherches à coup de find pour voir ce qui a été modifié récemment, dans les répertoires accessibles par tomcat; regarder aussi ce qui traîne dans /tmp, /var/tmp etc…
Analyser, décortiquer, comprendre
Corriger : est-ce qu'il manque des règles fail2ban, est-ce qu'il faut installer modsecurity etc.
et seulement alors on peut réinstaller. La sécurité ne s'improvise pas, mais on ne l'apprend souvent qu'après coup…
[^] # Re: mauvaise configuration
Posté par chimrod (site web personnel) . En réponse au message Probleme de spam à partir de mon serveur. Évalué à 2.
Commence par :
sudo service apache2 stop: ça va couper ton serveur websudo service apache2 start(quand tu auras besoin de le redémarrer)Ensuite, dis nous un peu quel site est hébergé dessus ? Tu as des contrats de maintenance ou c'est juste un site perso ?
Qui s'est chargé de faire l'installation ?
[^] # Re: Question
Posté par chimrod (site web personnel) . En réponse au journal [ HS ] Triste nouvelle pour toute une génération. Évalué à 5.
C'est triste ton avis sur les bébés débiles
[^] # Re: mauvaise configuration
Posté par chimrod (site web personnel) . En réponse au message Probleme de spam à partir de mon serveur. Évalué à 4.
www-data est l'utilisateur du serveur web sous debian.
Tu as donc un site avec une faille de sécurité qui a été exploitée, et ton pc est maintenant vérolé.
Tu constate l'envoi de mail, mais il est probable que d'autres actions soient réalisées sans que tu ne t'en rende compte : il est probable que ton serveur soit contrôlé à distance via IRC (pour envoyer des mails, servir d'espace de téléchargement, scanner d'autres sites vulnérables, ou tout ce que tu peux imaginer).
Commence par arrêter ton serveur web, et il va falloir prendre le temps de décortiquer ce qui ne tourne plus rond :
Bon courage.
# Vive le libre
Posté par chimrod (site web personnel) . En réponse à la dépêche Comment réfuter. Évalué à 2.
Je suis convaincu que le logiciel libre est indissociable des plates-formes d'échanges (forums, mailing-list, chats, …), avant tout pour des raisons techniques (échanger avec des développeurs qui ne travaillent pas dans le même bureau que nous), mais qui sont devenues aujourd'hui des raisons structurantes (construire une communauté autour d'un produit).
C'est de là que vient toute l'effervescence que l'on retrouve (troll, besoin de développer des arguments construits), et la diffusion des idées qui ne sont pas proprement techniques, mais qui traversent les échanges liés au libre.
On y trouve un style d'échange, qui me fait penser à la manière dont travaillaient les membres du courant de la philosophie analytique — qui n'avaient pas d'autres canal que le langage pour échanger sur le sens des mots (je vous laisse imaginer les échanges) — énormément de discussions, avancées, retour arrière, conflit, qui font qu'un écosystème avance.
Je ne sais pas s'il y a eu des personnes qui se sont intéressées à la structure des changes dans le libre (je ne parle de la cathédrale et du bazar), mais j'ai l'impression que cette manière de discuter et en train de se généraliser de plus en plus dans les projets : moins de formalisme, plus d'importance donné au sens ; et bien sûr un joyeux bordel…