Jar Jar Binks a écrit 1200 commentaires

Dans le cas de tcpdump comme dans celui d'OpenSSH, le cheval de Troie va chercher un script sur une machine sur le réseau, et se connecte sur cette machine pour ouvrir un shell. Cette machine appartient à une société finlandaise. De deux choses l'une, soit c'est un membre de cette entreprise qui a fait mumuse, soit (plus probable) ils se sont fait h4x0r. Il serait peut-être temps d'intenter des actions en justice, pour que (par exemple) les logs de cette machine soient passés au peigne fin. Ceci n'empêchant pas de demander poliment, bien entendu.
Pour aller plus loin, quand on découvre ce genre de choses, ne vaudrait-il pas mieux directement intervenir à ce niveau AVANT de divulguer la faille ?

En fait, c'est pas du GPL mais c'est tout de même de l'Open Source, même si l'auteur conserve les droits.

La licence est comme celle de qmail, le logiciel n'est donc pas Open Source.

Ça existe, et ça s'appelle gettext.
Tu auras peut-être remarqué qu'il suffit de positionner la variable LANG pour que tout le système apparaisse en français, sans rien installer de plus, c'est là toute la magie de gettext.
Mozilla n'utilise pas gettext, ça pose donc pas mal de problèmes. En particulier, quand une nouvelle version garde une chaîne inchangée, gettext la réutilise telle quelle, ce qui permet d'avoir une traduction partielle. Avec Mozilla, il faut fournir une ressource correspondant à la version installée.

les gens vont coder des drivers linux (peut etre pas libre mais au moins ca permettra d'utiliser un os libre)

Et à quoi ça sert d'avoir un OS libre si les drivers (qui viennent se greffer au cœur du système) ne le sont pas ?

Hélas l'utilisation de ce bouton requiert au moins 2 neurones.

Et Linuxfr est multi-taches.

Je peux te parler franchement ?

Tu nous les casses.

... et les flingues.

Tu m'étonnes, soit c'est un trolleur qui se cache, soit c'est un authentique boulet de compétition.

Tu n'as pas répondu à sa question : comment différencier un MUA d'un MTA configuré en smarthost ?
Bien évidemment c'est impossible.

Je ne pense même pas que les supermarchés dépendent d'une banque pour leurs paiements. Vu qu'ils proposent leurs propres services bancaires, ils n'en ont probablement pas besoin.

Et surtout, ça ne marche pas en un seul coup avec sed si le fichier est trop gros.

Une banque coopérative, à but non lucratif ?
Genre la Banque Populaire ou le Crédit Coopératif, quoi.
Bin oui, ça existe déjà.

surement crypté, mais jsuis pas sur
Si tu as un lecteur de carte à puce, la clé est dedans. Donc tu peux changer ça en deux temps trois mouvements.

Mais tu as sans doute une raison de penser ca ?
Mais non voyons, c'était juste une idée en l'air.

Tu ne serais pas webmaster de génération NT des fois ?

Et je rappelle que certains t'ont mis dans une liste de personnes a eviter, c'est pas pour rien.
Meme si c'est un acte purement symbolique...

Vu la personne qui a fait ça, je le prends comme un compliment.
Donc, merci du compliment.

Et puisque tu penses que je suis un vilain trolleur (qui se cache !!!), un fanatique, va voir qui a posté 200 messages inintéressants dans la dernière news Debian. Est-ce moi ? Non, c'est la personne qui m'évite.
J'ai donc du troller comme un fou plus tôt, alors tant qu'on est dans les attaques personnelles, revenons aux news Debian à troll précédentes.
http://linuxfr.org/2002/10/24/10085.html(...) => 11 commentaires sont de moi, pour la plupart des réponses aux questions techniques.
http://linuxfr.org/2002/10/23/10074.html(...) => une engueulade personnelle avec... maismais, toujours cette même personne ! Certes, elle n'a rien à faire ici, mais si tu relis les commentaires de cette personne les dernières semaines, tu pourras trouver des raisons à mon énervement.
http://linuxfr.org/2002/10/18/10019.html(...) => nada.
Et je n'ai même pas été troller dans http://linuxfr.org/2002/07/20/9033.html(...) !

Allons, un peu de sérieux. J'ai peut-être exagéré certains propos plus haut, mais je ne pense pas être le seul, et ça ne change rien au fond du problème : je pense qu'OpenBSD n'est pas assez sûr. C'est mon avis et je le partage.

Tu as oublié les mots clés : barbu, ne se lave pas, adolescent prépubère, masturbation, compilations de kernaille, secte, gourou, intégriste, etc.

La Gentoo n'a pas la frustation d'apt-get, apr contre Debian a la frustation de portage.

Bien sûr, c'est probablement pour ça qu'il y a 2 ou 3 moyens différents sous Debian de faire ce que font les portages, sans pour autant être obligé de tout compiler.

À ce propos, l'idée de supporter testing plus activement au niveau de la sécurité, ainsi que de fournir des « snapshots » officiels de testing a été émise, et si les ressources nécessaires sont mises en place, ça ferait un bon moyen d'avoir une distribution officielle toujours à jour.

Mais bon, considérer que une personne , en regardant le noyau, fasse mieux que 5 ans d'audit continue , par toute une equipe, c'est un peu utopique...

Mais bien sûr, le noyau d'OpenBSD est le seul à être audité en continu...
Le fait est qu'on y a trouvé à peu près autant de failles que dans le noyau Linux. On doit donc se passer de tout ce qu'il apporte, pour un gain en sécurité nul.


Y a pas de quoi, je comprends que ce soit dur de continuer a dire les utilitaires GNU sont tous completement securisés, alors que je sort le contraire.

L'exemple que tu as pris est complètement ridicule. Cela dit, GNU n'a jamais prétendu comme certains que ses outils sont parfaitement sûrs. Ils sont raisonnablement sécurisés grâce à l'tilisation de règles de programmation strictes, mais surtout ils sont très rapidement corrigés en cas de problèmes.

Alors on n'a qu'à continuer à raconter partout qu'OpenBSD est le plus sûr des OS. C'est écrit sur leur site, ça ne peut donc pas être faux.

Tu crois vraiment que ce genre de choses est bon pour la communauté du logiciel libre ? Se réfugier dans un confort illusoire apporté par une réputation surfaite, ça ne peut que faire mal à tout le monde le jour où on se rendra compte que ça ne l'est pas.

Une bonne sécurité ne consiste pas à croire ses logiciels invulnérables. Les UNIX commerciaux ont longtemps fait cette erreur. Une bonne sécurité passe par des mises à jour de sécurité, et quand on voit comment l'équipe d'OpenBSD a réagi face à la faille d'OpenSSH, je me permets de douter de leurs capacités à faire de bonnes mises à jour.

Bref, à quelqu'un qui veut de la sécurité, je conseillerai FreeBSD ou GNU/Linux, mais sûrement pas OpenBSD. Pas par aversion personnelle, mais parce qu'au vu de la situation, je pense que ce n'est pas une bonne solution.

Effectivement, c'est beaucoup 4 race conditions en 1 an et demi...
Oui, c'est beaucoup.

http://www.fr.debian.org/security/2001/dsa-047(...)
http://www.fr.debian.org/security/2000/20000612(...)
Ça fait 2 vulnérabilités locales en 5 ans pour le noyau Linux.

Et ça, c'est sans compter ce qui n'a pas été découvert. La structure bien compartimentée du noyau Linux et la paranoïa des développeurs en font un modèle en termes de sécurité. Aucune vulnérabilité locale majeure n'a été découverte sur les noyaux 2.4, ce qui est assez éloquent au vu de la quantité de code impliquée.

http://online.securityfocus.com/archive/1/19644(...)
HA, HA, HA.
Pardon.

Tertio, OpenBSD ne supporte aps le format Elf et alors ?
Si tu n'es pas capable de comprendre les intérêts, particulièrement en termes de sécurité, d'avoir une gestion convenable des bibliothèques partagées, je pense que tu devrais arrêter de débattre de sécurité.

Ciel, je ne m'en remettrai pas.

Tous les matins en me levant, à partir de demain, je regretterai d'avoir été méchant avec toi, car comme pétinence je devrai me passer de ton extraordinaire conversation.

L'intérêt, c'est que si quelqu'un récupère ton disque dur, il ne peut pas récupérer tes mots de passe.

Notons qu'une implémentation correcte de mlock(2) et son utilisation appropriée permettent de s'en passer sans le moindre scrupule (et c'est ce qui se fait depuis longtemps), mais une couche de sécurité supplémentaire ne fait pas de mal dns l'absolu.