pasBill pasGates a écrit 16169 commentaires

Donc on en revient au problème: comment fais-tu pour savoir identifier la clé de chiffrement (qui peut être générée aléatoirement) sans savoir comment le programme de chiffrement fonctionne, sans avoir accès à son code source, avec seulement un binaire sans symboles de debug? Ben tu fais de la meme maniere qu'un cracker vire la protection d'un programme, tu suis ce que fait le soft, et tu t'incrustes au bon endroit. Je ne vois pas le rapport, la clé peut être générée en C standard, sans faire un seul appel à l'API Win32, tout ce que verra l'API Win32, c'est le flux crypté, ni plus ni moins que ce qui transite par le réseau. Oui, mais les infos sur ta machine elles peuvent pas etre lues par autre choses que des appels aux sous-systemes, donc tu hook la dedans, tu regardes ou les infos sont stockees, et avec le debugger tu mets un breakpoint pour voir quand ces donnees sont accedees par le soft, et tu sais exactement quand le soft utilise ces donnees. Auquel cas le fait que ces gens aient accès au code source ne nous avance pas beaucoup car s'ils ont découvert des choses ignobles ils n'ont peut-être pas eu l'occasion de nous faire part de leur expérience... Creer une adresse e-mail bidon, aller dans un cybercafe et envoyer a toute la planete des infos prouvant ou est le spyware, comment le denicher c'est hyper simple, des milliers de gens ayant eu acces au code, aucun ne l'a fait, bizarre non ?

Si on part dans des delires sur des donnees cachees dans les numeros de sequence TCP, ben oui, je parles de debugger. Sinon, tu peux toujours auditer le code de Windows apres avoir signe le NDA, rien ne t'empeche ensuite de releaser les infos anonymement sur les spywares que t'aurais vu dans le code. Pas tres dur a faire. Le truc marrant etant que parmis les dizaines de milliers de gens qui ont lu le code de Windows, pas un ne l'a fait encore. A croire qu'ils n'ont rien trouve.

Eh si ca suffit, car dans l'enorme majorite des cas c'est des protocoles connus, Ethereal pour bon nombre d'entre eux te montrera que ce n'est rien de dangereux. Pour les autres il faudra te bouger un peu le cul, si tu compares ca au temps necessaire pour auditer 20 millions de lignes de code, je t'assures qu'analyser le sniff reseau va etre plus rapide.

Ben il reste plus qu'a chopper un admin competent et vous etes bon pour continuer.

Tu veux compter le nombre de machines W2k en reseau qui ne rebootent pas tous les matins ?

Il va te falloir beaucoup de doigts pour ca, pense a aller faire un tour a Tchernobyl.

Ca j'en doutes enormement, et meme plus.

Explique moi donc pourquoi faire plein d'appels ferait freezer la machine.

Eh ben, j'ai beau etre suisse j'ai quand meme ete vachement plus rapide que toi sur ce coup la, moi ca fait environ 4 ans que je m'en suis rendu compte et que j'ai arrete d'achete ce journal.

Le jour ou ils ont ose sortir que compiler un soft avec make -j X permettait de le rendre multithread j'ai decide que j'avais assez jete d'argent par la fenetre.

Il y a bien quelques articles valables de temps en temps, mais dans l'ensemble ca ne vaut vraiment pas son prix.

J'imagines deja les pauvres gus qui ont recompile tous leurs packages et qui n'ont vu aucune difference de perf, ca a du foutre les boules :+)

Alexa n'est PAS fourni avec IE, il y a une entree dans la registry pour un lien sur Alexa, mais Alexa n'est PAS installe.

Le firewall pour XP, il te permet de specifier quels ports tu veux ouvrir et autres. C'est tout ce dont ont besoin 99% des gens, perso il me suffit largement.

Si tu veux etre plus fin, tu peux mettre des filtres IP plus fins (cf Local Security Policy dans Administrative Tools), c'est d'ailleurs deja dans Win2000.

Moi j'ai deja vu, et quand je vois ces choses la ca m'inquiete, que ce soit Windows, xxxBSD ou Linux.

En 300 jours des problemes de securite dans le kernel il y en a au moins 1 ou 2.

T'es up 300 jours, ca veut dire que t'as pas patche ton systeme, pas bon.

La soi-disant "atteinte a la liberte d'expression" n'a rien a voir avec Windows Update mais avec le .NET framework, priere de ne pas tout melanger.

Flux chiffre ? Rien ne t'empeche de connecter un debugger et voir quelle cle est utilisee, hooker ton debugger et chopper les infos avant qu'elles soient cryptees et envoyees.
Les gars qui crackent des softs font ca regulierement, et MS te file meme un soft pour detourner les API Win32(detour) histoire de le faire encore plus simplement.

Quand aux flux dans les numeros de sequence TCP, etc... Ben tu sais tres bien que cela depend de la stack, pas de Windows Update, hors les sources de Windows sont dispo, et il est assez difficile de cacher ce genre de feature car un numero de sequence initial qui depend de quelque chose de ce genre ca se voit assez clairement.

Personne ne te le prouve, mais si t'as la preuve que c'est pas le cas, lances un proces.

Quand a la base, ca pourrait etre car 1) elle est trop grosse 2) elle change trop frequemment 3) elle utilise des infos qu'on veut garder 4) d'autres raisons que je ne connais pas

Bref, des raisons valables il y en a plein, laquelle est la bonne j'en sais rien.

Je parles pas de documents uniquement non plus, Palladium ne va pas encrypter tes fichiers(executables, documents,...) tout seul, c'est a toi de le faire.

Palladium se contente d'essayer de decrypter les fichiers cryptes qu'il recoit en fonction des cles qu'il a, et de crypter les fichiers que tu lui dis de crypter, c'est tout. Simplement il le fait avec un systeme soi-disant sur de bout en bout.

Ben non, c'est exactement la meme chose.

Dire que c'est insuffisant sans expliquer pourquoi ne va pas changer les faits.

Si les gouvernements continuent a utiliser Windows, c'est parce qu'ils savent pertinnemment qu'il n'y a rien de suspicieux dedans.

Si MS montre les sources, c'est parce qu'il sait pertinemment qu'il n'y a rien de dangereux dedans.

Bref, tu veux juste dire "Windows c'est pas GPL c'est Mal(TM)", alors que ca n'a rien a voir avec le probleme ici.

Tu peux verifier, si tu preferes te retrancher derriere des accusations a la con pour le refuter, tant pis pour toi.

Bien sur que non, tu parles de verification ici, et diffuser des infos sur ce code ou le corriger n'a rien a voir avec ca, tu le sais pertinemment.

Si j'installes un soft qui n'est pas package en .deb, apt-get ne pourra pas l'upgrader, apt-get utilises les metadatas contenues dans le .deb pour decider d'upgrader ou pas, sous Windows c'est le meme probleme, le systeme ne peut pas forcement savoir d'ou viennent certaines choses, resultat on a une base de donnees qui permet de savoir ce qu'il faut faire, mais bien evidemment on ne peut pas mettre cette base de donnees dans l'OS vu qu'elle est cree apres que l'OS soit sorti.

Ce qui va etre fait de ta config, c'est ecrit noir sur blanc dans le CLUF : utilise pour updater ton systeme et rien d'autre, mais faudrait prendre la peine de lire de temps en temps.

Il y a aussi des centaines de gens qui bossent sur le code de Windows chez ATT, Siemens, Stratus, des universites, des gouvernements, etc...

Il y a aussi des centaines de gens qui sniffent leur reseau pour voir ce qui s'y passe.

En clair : ca ne change rien, meme topo.

La mauvaise foi tu peux te la garder.

Windows Update le fait pour la simple raison que contrairement a Debian, tout n'est pas que packages .deb

Si tu commences a installer des packages non Debian, apt-get il va partir dans les choux, ce qui est normal d'ailleurs.

C'est tres largement suffisant, c'est 1000 fois plus simple et rapide que lire plus de 20 millions de lignes de code source.

Je voudrais verifier la meme chose sur Linux, je ferais la meme chose, je vais pas m'amuser a auditer des millions de lignes de code, sans etre sur de chopper le code malicieux si il est obfusque, alors qu'il y a un goulot unique par ou toutes les infos doivent passer pour atteindre le destinataire potentiel, c'est evident.

Ah j'oubliais, pour faire plaisir aux gens qui croient encore au mythe de "code ouvert == possible de verifier qu'il n'y a pas de spyware", tu peux avoir acces gratuitement aux sources si t'es un gouvernement, une universite ou si t'as plus de 1500 licences.

Ce mythe est completement bidon, mais si ca peut rassurer certains d'entre vous...

Sniff le reseau et regarde ce qui passe.

Methode efficace a 100%, rien ne peut t'echapper.

- J'ai un compte passport, la seule chose que MS sait de moi, c'est mon e-mail nvidiatnt at hotmail dotte com , eh ben, ca c'est de l'intrusion !
- Tu m'expliqueras comment updater un systeme sans regarder ce qu'il y a dessus pour savoir ce qu'il faut updater, d'autre part la licence specifie clairement que ce n'est utilise pour rien d'autre
- Montre moi ou sont ces soi-disant spywares dans XP, sinon evites de sortir des conneries
- Il y a un firewall dans XP

Bref, il y a encore du boulot...

En mettant XP sur les PCs de l'EN, on enterine aussi TCPA et la difficulte voir l'impossibilite de partager les fichiers. Tu imagines tes enfants voulant se mailer le travaille fait a l'Ecole et incapable de le relire a la maison si papa n'installe pas (et donc n'achete pas) la license XP home edition qui va bien ?

T'as toujours pas compris ce qu'etait Palladium.

Rien ne t'obliges a encrypter tes documents

Tu le fais si tu le veux.

Dans un an ou deux il faudra encore changer de version de système avec Microsoft, avec la formation obligatoire qui devra accompagner le changement

1ere connerie, c'est tout juste si la prochaine version sortira dans 2 ans, il m'expliquera comment il va faire pour upgrader dans 1 an

je ne connais AUCUN éditeur qui refusera de se lancer dans cette opération, s'il sait que cela concerne plusieurs milliers ou dizaines de milliers d'exemplaires….le début d'un marché plus large….

Manque evident de connaissance du marche

L'enjeu de cette guerre n'est pas seulement l'enrichissement de Microsoft et de ses propriétaires, mais le POUVOIR ABSOLU sur TOUTE la chaîne de l'information, pour les seuls Etats Unis

3eme connerie, on part dans la parano

Il est établi, depuis plusieurs années et à plusieurs reprises, que les logiciels Microsoft contiennent ce que l'on appelle du "code espion" ("spyware" dans le jargon des gens "branchés" : voir [4]). A quoi sert ce code espion ? à examiner ce qui est installé comme logiciel sur votre ordinateur, si vous en avez bien acquitté la licence

4 eme connerie, sans aucune preuve bien entendu

Que cette information soit utilisée à des fins commerciales est déjà choquant, mais quand on songe qu'elle peut être exploitée par la CIA ou autre NSA, personnellement j'en ai des frissons

5eme connerie, toujours sans preuve

Il faut aller vite : Soit les pouvoirs publics auront pris les mesures incontournables et vitales pour imposer les logiciels et solutions informatiques libres dans l'intégralité du domaine public, soit nous prenons le risque de mettre nos libertés, entre les mains de la CIA.

Une derniere connerie pour etre bien sur d'etre totalement decredibilise.

Nan franchement, c'est pas facile de faire pire et plus partial que ce torchon.

char *temp1=(char*)malloc(1);
char *temp2=(char*)malloc(1);
Ca te prend comme place :
2 fois : 4 bytes(ou 8 sur 64bits) pour le pointeur + au moins 8 pour l'allocation selon la heap que tu as, car la heap a pas une granularite de 1 byte mais plutot 8 minimum

Et ca fait passer par malloc --> appel hyper-long

Quand tu fais ton strcat(temp1,temp2); tu fais 2 erreurs :
1) temp1 n'est pas forcement a 0 apres le malloc, si tu fais un strcat, il va essayer d'aller apres le 1er byte, hors du buffer et crasher
2) Si temp2 n'est pas 0, strcat va parcourir le buffer temp2 jusqu'a ce qu'il trouve un 0 --> buffer overflow -> crash

Moi je te proposes plutot :

void mamethode(char *elt);

char montableau[TAILLE_DE_TABLEAU];

mamethode( &(montableau[i]) );

Et la t'as effectivement passe un pointeur sur l'element i de ton tableau.

Pas exactement, c'et des Program Manager, et ils sont pas vraiment chefs, c'est un peu une structure parrallele, ils ne nous donnent pas vraiment d'ordre car ils sont pas au-dessus de nous et ils ne vont pas jusqu'au design architectural des produits. Ils decident en gros de ce que le soft est sense faire, ses interactions,... et le design du soft(comment le soft est structure/code), c'est des devs et des architectes qui le font, bases sur les specs du PM.

Ben euh non : "Le noyau de MacOS X est propriétaire. Donc on n'en sait rien."

Les sources du noyau de MacOS X sont dispo.