Krunch a écrit 3959 commentaires

comme il s'agit de logiciels libres, les sources sont disponibles

Un distributeur de logiciel libre pourrait s'arranger pour que les sources ne soient disponibles qu'à ceux qui paient pour obtenir le logiciel.

CentOS ne s'est pas privé

Vu que CentOS est maintenant controllé par Red Hat, c'est pas trop étonnant, même si les sources n'étaient pas publiquement disponibles.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

D'un autre côté, si tu mets de la tapisserie dans ta salle de bain, tu l'as un peu mérité quand même.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

le matériel (je ne trouve plus le nom) qui implique d'être absolument dans l'axe

Privacy screen. En français je sais pas. Ça empèche pas les gens qui sont derrière toi de voir l'écran.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Et donc ça empêche de dire combien il veut ?

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Heu, merci, je m'y attendais effectivement pas. Je dois avouer que j'ai gagné ce livre (possiblement une édition précédente) au hacker jeopardy de haxogreen (me semble-t-il) il y a 2(?) ans (en grande partie grâce à mon coéquipier)…et je l'ai jamais lu et j'ai fini par le revendre (en même temps que pratiquement tout le contenu de mon appartement, j'avais rien contre ce livre en particulier).

Enfin, peut-être que je vais finir par le lire cette fois. Au pire je connais des gens à qui ça fera plaisir.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Puppet ne nécessite pas de daemon dédié. Tu peux très bien t'en sortir avec cron par exemple. C'est sans doute vrai pour cfengine et salt aussi mais je n'ai pas d'expérience direct en la matière.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Le bug dont je me souvenais : https://bugzilla.gnome.org/show_bug.cgi?id=326663 (plutôt 8 ans que 1-5 mais bon).

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

http://www.jwz.org/blog/2014/04/the-awful-thing-about-getting-it-right-the-first-time-is-that-nobody-realizes-how-hard-it-was/

Il me semble qu'il y a déjà eu au moins un bug similaire dans gnome-screensaver il y a ~1-5 ans.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Le participant astucieux évaluera le meilleur jour et heure de publication avant de proposer sa dépêche.

https://linuxfr.org/users/krunch/journaux/dlfp-journalyser-2-0-pas-de-veille-techologique-le-weekend
https://linuxfr.org/users/krunch/journaux/dlfp-journalyser-2-1-rester-au-top

Il préparera aussi son botnet de multis de {plus,moins}age.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

De ce que je comprend, les développeurs OpenSSL sont payés pour ajouter des fonctionnalités mais généralement pas pour auditer. Les gens qui auditent OpenSSL sont généralement des individuels ou organisations tierces qui espèrent soit s'assurer de la sécurité du bazard pour leur utilisation ou trouver des failles qu'ils peuvent revendre. Ces gens ne sont pas nécessairement des développeurs et ils n'ont pas forcément d'intérêt à publier les résultats de leurs recherches.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Donc sinon toi perso tu mets combien de temps entre le commit et le dernier audit qui a détecté tous les bugs ?

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

C'est amusant, je ne me souviens pas avoir vu passer de preuve qu'il n'y a pas de backdoor dans AES.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Bah si ils utilisent OpenSSL depuis un moment et ils le connaissent assez bien je pense. J'imagine que cette histoire est juste la goutte qui fait déborder le vase.

https://www.peereboom.us/assl/assl/html/openssl.html

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Bien sûr que c'est audité. Comment tu crois que la faille a été trouvée ?

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

pf/altq étant dans le kernel c'est encore moins comparable au reste. Cela dit, il y a bien des gens qui se sont amusés à porter/réimplémenter CARP : http://www.pureftpd.org/project/ucarp

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Ainsi que la cabale DLFP.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Voire aussi :
https://linuxfr.org/users/krunch/journaux/le-gouvernement-us-paie-laudit-de-projets-libres
https://linuxfr.org/users/krunch/journaux/le-gouvernement-us-paie-laudit-de-projets-libres-la-suite

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Du moins tant que la clef n'est pas compromise par d'autre entites.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Et l'implémentation custom de malloc/free n'est pas optionnelle (TdR le dit dans le commit log mais ici on a un exemple précis) : http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse

Pendant ce temps, l'EFF tente de déterminer à quelle échelle la faille a été exploitée par le passé : https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

C'est amusant cette hypothèse qui implique que la NSA n'a pas d'intérêt à s'infiltrer dans les systèmes de sociétés états-uniennes.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Alternativement il y a adminspotting : http://www.jhnc.org/adminspotting/gaz.html
Il y a moins de conseils pratiques mais c'est plus rapide à lire.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Plutôt mta5.am0.yahoodns.net etc alors mais si tu fais ça et que tu prétends avoir mis en place des serveurs SMTP réellement fonctionnels dans la vraie vie pour du vrai tu peux aussi aller te pendre.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Tu disais ça juste pour un bon mot où tu as déjà mis en place des serveurs SMTP (réellement fonctionnels) dans la vraie vie ?

Non, je suis un branquignole mais je connais Certaines Personnes dont c'est le métier et a qui je confierais volontiers mon infrastructure SMTP.

< Krunch> ca te semble plausible ? "Selon la configuration du /etc/hosts, tes mails peuvent arriver chez Gmail mais se faire refuser chez Yahoo."
< Certaine Personne> non, il raconte des couilles

Après, si tu peux expliquer les détails techniques ça peut être comique. Je dois avouer que je préfère les bugs obscures qui ont des conséquences a priori absurdes par rapport aux pseudo explications cargocultistes mais c'est distrayant aussi.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Si ton système ne résoud pas localhost je pense que tu vas avoir d'autres problèmes.

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Je suis à peu près sûr que ça retourne 0 donc je sais pas si ça compte comme « quelque chose ».

pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.