Je suis d'accord sur le fait que l'on parle de type N et P et non pas de NPN ou PNP qui est pour les bipolaire. Mais 4 types de transistors, je ne vois pas du tout à quoi tu fais référence, à la manière de doper ?
Ok, je ne pensais pas que l'on faisait du TCP/IP avec des 'devices' aussi petit. Il semble possible de faire fonctionner du code depuis la RAM d'un STM32. Je ne sais pas si il est possible d'interdire l’exécution de ce genre de code, mais cela serait une bonne idée :)
Et ça ne règle pas le problème qu'il faut faire le suivi des mises à jour de sécurité et publier régulièrement des corrections du firmware, ce qui est trop rarement fait, Linux ou pas.
Oui, c'est même le point principale : prévoir des mises à jour pendant la durée de vie de l'objet !
Pourquoi avoir forcément besoin d'écrire dans la flash ? Le XIP n'est plus utilisé que je sache (trop lent). Il suffit d'avoir du code en RAM (buffer overflow, string overflow, return into libc,…). Ensuite, tu peux imaginer un shell code qui va modifier la flash si tu sauver le ver. Un shell code, c'est une string qui contient un programme en binaire qui "fait un truc", habituellement c'était un appel de création d'un shell, mais cela peut être n'importe quoi.
Linux est attaqué en permanence depuis 10 ans, c'est ce qui fait la solidité. Il n'y a plus de problème de spécification, mais peut être d'implémentation, ce qui n'est sans doute pas le cas de LWIP.
"Oui mais c'est Linux, tout le monde utilise ça, donc c'est forcément fiable"? J)y crois moyennement.
C'est l'est forcément 10x plus que n'importe quel code très peu utilisé.
Il y a régulièrement des mises à jour de Linux et il est rare qu'elles soient déployées sur des devices IoT (quand on arrive à avoir un kernel à jour dès la conception du device, c'est déjà pas mal. dans certains cas les fournisseurs de system-on-chip fournissent une version du noyau; qui date de la mise sur le marché du chip…).
Oui, et c'est un scandale. Les vendeur d'IoT devraient être responsable des dégâts causé par leur objets. Quand une camera IP neuve se fait défoncé en 48s, c'est n'importe quoi.
En plus de ça, même avec une pile IP pleine de trous on est loin d'avoir un botnet. Injecter du code dans un firmware où le code ne s'exécute que depuis la mémoire flash d'un microcontrôleur, ou il n'y a pas de shell et donc aucun moyen de prendre le contrôle directement de la machine, où il n'y a pas d'interface de syscall claire entre le noyau et le reste, où les adresses de toutes les fonctions changent à chaque recompilation du firmware, je te souhaite bon courage.
Ben si… cela fait 10 ans que cela se fait ! Pourquoi Linux implémente l'ASLR, par exemple, à ton avis ? Le layout d'adresse de fonction change à chaque exécution ! Ne sous-estimes pas la compétence des personnes en face, et plus ton "objet" est commun plus il intéressera du monde. Le piratage actuel consiste à tester quelques couples de login/mot de passe connu, mais les techniques de buffer overflow et autre "shell code" existe depuis depuis longtemps.
Le piratage de canal sat impliquait de faire du reverse engineering de carte à puce. Et cela a été fait (c'était le boulot de CK2 security de surveiller) ! Alors du reverse de firmware depuis une flash, c'est rien du tout.
Si plein justement. La pile de linux a évolué pendant 10 ans pour éviter tout un tas de problème, ce qui n'est pas du tout le cas de ce genre de pile.
Cela me rappelle un outil qui permet de faire la signature d'une machine particulière sous son linux. Un type s'est amusé à faire la signature d'une wii, il s'est fait pirater dans l'heure, car la wii ne générait pas correctement les séquence aléatoire TCP.
Pitié les dev d' IoT, n'utilisez pas ce genre de pile sans l'avoir fait tester par des vrais méchants du pen test. Sinon, vous allez peupler Internet de gigabotnet, l'enfer ! Après avoir mis des mots de passe / login de base, genre admin/admin, ne faites pas un nouveau genre de boulette connu depuis 20 ans.
Il y a 10 ans, le réseau aurait été compliqué. Il existait des composants Ethernet à brancher sur des PIC, il existait des débuts de piles IP qui tournait sur µC (le genre de pile qui doivent être des failles de sécurités à elle toute seule).
Aujourd'hui, tu utilises simplement un RaspberryPi avec du wifi et tu as le réseau pour presque rien.
Le projet marrant que j'ai en tête serait de connecter plusieurs RaspberryPi zero en utilisant le bus CAN intégré. Une RaspberryPi zero coutant 5€, il est impensable de les connecter à un switch ethernet qui coûte 10x plus.
Le défie serait de connecter n cartes par bus CAN (100 Kbps max), qui mettrait la lecture de leur IO en commun, avec une latence la plus faible possible (~100 hz ?).
A part dire que la tension est l'équivalent de la hauteur d'une chute d'eau, que l'intensité est un débit, qu'une résistance est un milieu qui "résiste" au déplacement des charges, que le condensateur stock l'énergie sous forme de charge électrique, alors qu'une bobine la stock sous forme de champ magnétique, non, je n'ai pas plus de sources pour débutant.
Ne pas le baser sur la conversation (limite de poste par jour ?), twitter permet de choisir qui ont lit, mais ce n'est pas une obligation. Linuxfr n'archive pas la tribune, ce qui rend une recherche plus compliqué.
Le plus impressionnant sont les moteurs, qui ont vraiment beaucoup de spires.
D'ailleurs, pour avoir discuter avec un industriel, il y a tellement de combinaisons et de choix différents possibles, qu'il fabriquait eux-même leurs moteurs. Avoir un "générateur" de moteurs (en fonction de paramètre de puissance, consommation, latence, etc….) pourrait aider.
Je crois que tu n'as rien compris au principe du tweet :) Le problème n'est pas d'avoir des lecteurs, le problème est d'avoir des auteurs. Tu peux préférer un truc bien rédigé, si tu ne trouves personne pour le faire, ce document n'existera jamais.
Le résumé dont tu parles existe déjà sur la 1er page.
"des contenus plus courts : comment les susciter dans l'espace de rédaction ? (la crainte de « la page blanche » et de « ne pas être à la hauteur » revient régulièrement dans les retours sur le site ou les stands) ;"
Quand les blog sont devenu à la mode vous avez créer les "journaux" pour suivre ce nouveau mode d'édition. Ils serait temps de faire une nouvelle page "log" sur le mode de twitter avec un contenu à mis chemin entre la tribune de rédaction et les journaux. La limite de taille permet une limite du temps de rédaction.
Au début, je trouvais twitter inutile, mais c'était avant de comprendre le coté fondamentale du fait de réduire le temps d'écriture du tweet.
La taille idéale devrait être de 2 ou 3 lignes de tribunes maximum, non compris les url (limité à 2 ou 3). Il faudrait aussi une prévu d'image. C'est archivé et indexé. On peut limiter le nombre de postes par jour et par compte.
Les "réponses" aux tweets pourraient être simplement le système de commentaires habituelles.
Il y a une emmission US genre "myth buste", qui a fait tomber une plume et un morceau de métal dans une chambre à vide énorme. Les 2 tombent en même temps.
Je viens de comprendre que tu n'as jamais de représentation en mémoire, donc si l'expression est généré dans les faits, la génération est "refaite" à chaque type d’interprétation (eval ou pretty print)
J'ai l'impression que tu mélanges l'usage d'un outil comme gcc (le code de gcc est gpl, mais pas les le code des exe compilé avec), et la dépendances entre lib binaire (ton .so).
Ce n'est pas parce que gcc est sous GPL, que tout code l'utilisant est GPL. Par contre, toutes lib GPL, entraînent un code GPL. Dans le cas d'une base de donnée MYSQL, si ton code ne sais parler que mysql, et rien d'autre, si mysql est GPL, ton code aussi.
je raisonne en temps que quelqu'un qui ne tiens pas à écrire du code sous une licence qu'il ne comprends pas (c'est mon cas apparemment…)
Personne ne t'oblige à réutiliser du code GPL, aucun soucis.
Quel est la différence ?
Elle est majeur. Le droit d'auteur est sur le code, pas sur un artefact généré par du code. Il est impossible de faire un produit dérivé (au sens légal) entre du code généré, et un autre code. Par exemple, gcc compile un code propriétaire, il n'y a aucune licence pour ça. La seul licence spécifique, c'est pour le bout de lib qui appele le main(libgcc ou le crt0, un truc du genre)
C'est vraiment des problématiques proches de ce qu'on voit avec les brevets, je trouve.
Uniquement si tu raisonnes comme un mec qui veut baiser la GPL, le principe de développement du soft, et les développeurs du code, qui demandent uniquement que les utilisateurs jouent le jeu.
Le principe est ultra simple : si tu dépends d'un code (et uniquement d'un code, pas d'un outil) GPL, tu es forcément en GPL.
[^] # Re: Quelques rectifications.
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 4.
Je suis d'accord sur le fait que l'on parle de type N et P et non pas de NPN ou PNP qui est pour les bipolaire. Mais 4 types de transistors, je ne vois pas du tout à quoi tu fais référence, à la manière de doper ?
"La première sécurité est la liberté"
[^] # Re: Pourquoi un IPS511 ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 3.
Mouais, qui utilise encore un 2N2222 ? C'est typiquement le genre de fonction qui se fait mieux avec n'importe quoi d'autre (ampli-op ou MOS).
"La première sécurité est la liberté"
[^] # Re: Quelques rectifications.
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 3.
? on parle de type N ou de type P, pour les NPN ou PNP, personne n'utilise "enrichissement" ou "appauvrissement"
? Ils sont capacitif parce qu'ils sont composé de plusieurs transistors de grosses tailles. La capacité parasite est dû à la taille de la grille.
"La première sécurité est la liberté"
[^] # Re: très belle série
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 3.
Ok, je ne pensais pas que l'on faisait du TCP/IP avec des 'devices' aussi petit. Il semble possible de faire fonctionner du code depuis la RAM d'un STM32. Je ne sais pas si il est possible d'interdire l’exécution de ce genre de code, mais cela serait une bonne idée :)
Oui, c'est même le point principale : prévoir des mises à jour pendant la durée de vie de l'objet !
"La première sécurité est la liberté"
[^] # Re: très belle série
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 3.
Pourquoi avoir forcément besoin d'écrire dans la flash ? Le XIP n'est plus utilisé que je sache (trop lent). Il suffit d'avoir du code en RAM (buffer overflow, string overflow, return into libc,…). Ensuite, tu peux imaginer un shell code qui va modifier la flash si tu sauver le ver. Un shell code, c'est une string qui contient un programme en binaire qui "fait un truc", habituellement c'était un appel de création d'un shell, mais cela peut être n'importe quoi.
"La première sécurité est la liberté"
[^] # Re: très belle série
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 5. Dernière modification le 06 décembre 2016 à 14:16.
Linux est attaqué en permanence depuis 10 ans, c'est ce qui fait la solidité. Il n'y a plus de problème de spécification, mais peut être d'implémentation, ce qui n'est sans doute pas le cas de LWIP.
C'est l'est forcément 10x plus que n'importe quel code très peu utilisé.
Oui, et c'est un scandale. Les vendeur d'IoT devraient être responsable des dégâts causé par leur objets. Quand une camera IP neuve se fait défoncé en 48s, c'est n'importe quoi.
Ben si… cela fait 10 ans que cela se fait ! Pourquoi Linux implémente l'ASLR, par exemple, à ton avis ? Le layout d'adresse de fonction change à chaque exécution ! Ne sous-estimes pas la compétence des personnes en face, et plus ton "objet" est commun plus il intéressera du monde. Le piratage actuel consiste à tester quelques couples de login/mot de passe connu, mais les techniques de buffer overflow et autre "shell code" existe depuis depuis longtemps.
Le piratage de canal sat impliquait de faire du reverse engineering de carte à puce. Et cela a été fait (c'était le boulot de CK2 security de surveiller) ! Alors du reverse de firmware depuis une flash, c'est rien du tout.
"La première sécurité est la liberté"
[^] # Re: très belle série
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 9. Dernière modification le 06 décembre 2016 à 11:25.
Si plein justement. La pile de linux a évolué pendant 10 ans pour éviter tout un tas de problème, ce qui n'est pas du tout le cas de ce genre de pile.
Cela me rappelle un outil qui permet de faire la signature d'une machine particulière sous son linux. Un type s'est amusé à faire la signature d'une wii, il s'est fait pirater dans l'heure, car la wii ne générait pas correctement les séquence aléatoire TCP.
Pitié les dev d' IoT, n'utilisez pas ce genre de pile sans l'avoir fait tester par des vrais méchants du pen test. Sinon, vous allez peupler Internet de gigabotnet, l'enfer ! Après avoir mis des mots de passe / login de base, genre admin/admin, ne faites pas un nouveau genre de boulette connu depuis 20 ans.
"La première sécurité est la liberté"
[^] # Re: très belle série
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les actifs, au boulot !. Évalué à 5. Dernière modification le 06 décembre 2016 à 09:30.
Il y a 10 ans, le réseau aurait été compliqué. Il existait des composants Ethernet à brancher sur des PIC, il existait des débuts de piles IP qui tournait sur µC (le genre de pile qui doivent être des failles de sécurités à elle toute seule).
Aujourd'hui, tu utilises simplement un RaspberryPi avec du wifi et tu as le réseau pour presque rien.
Le projet marrant que j'ai en tête serait de connecter plusieurs RaspberryPi zero en utilisant le bus CAN intégré. Une RaspberryPi zero coutant 5€, il est impensable de les connecter à un switch ethernet qui coûte 10x plus.
Le défie serait de connecter n cartes par bus CAN (100 Kbps max), qui mettrait la lecture de leur IO en commun, avec une latence la plus faible possible (~100 hz ?).
"La première sécurité est la liberté"
[^] # Re: Bravo, sujet rafraîchissant
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Montrez vos bobines. Évalué à 4.
Oui, et non.
Dans un moteur, le champs magnétique des bobines sert à le faire tourner, ses effets en tant que bobine, sont plus vu comme des parasites à filtrer.
"La première sécurité est la liberté"
# référencement ?
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Désolé, la Quadrature, mais tu fais fausse route. Évalué à 10.
Cela serait peut être bien d’arrêter de faire du référencement pour le site de propagande. Pourquoi avoir introduit un lien ?
Voici le site officiel : http://www.ivg.social-sante.gouv.fr/
"La première sécurité est la liberté"
[^] # Re: tweet ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Conférence LinuxFr(.org), mais refaire ?. Évalué à 5.
Si la tribune est planqué dans un coin, c'est pour une bonne raison.
"La première sécurité est la liberté"
[^] # Re: Ressources pour débutants ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Montrez vos bobines. Évalué à 4.
A part dire que la tension est l'équivalent de la hauteur d'une chute d'eau, que l'intensité est un débit, qu'une résistance est un milieu qui "résiste" au déplacement des charges, que le condensateur stock l'énergie sous forme de charge électrique, alors qu'une bobine la stock sous forme de champ magnétique, non, je n'ai pas plus de sources pour débutant.
"La première sécurité est la liberté"
[^] # Re: Ha les intégristes du libre...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De l'autarcie du projet GNU, ou comment Emacs ne veut pas devenir EmacOs. Évalué à 2.
Tu oublies que la GPL a été créé justement parce que les licences BSD ont échoué. RMS ne croyait pas en la "bonne nature" de l'homme.
Elles ont donné plein de logiciels mais pas d'écosystème. XFree est mort, Spice était en morceau. LLVM est une exception.
"La première sécurité est la liberté"
[^] # Re: tweet ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Conférence LinuxFr(.org), mais refaire ?. Évalué à 3. Dernière modification le 02 décembre 2016 à 10:19.
Ne pas le baser sur la conversation (limite de poste par jour ?), twitter permet de choisir qui ont lit, mais ce n'est pas une obligation. Linuxfr n'archive pas la tribune, ce qui rend une recherche plus compliqué.
La tribune c'est plus irc que twitter.
"La première sécurité est la liberté"
[^] # Re: Verni, le fil de cuivre
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Montrez vos bobines. Évalué à 6.
Le plus impressionnant sont les moteurs, qui ont vraiment beaucoup de spires.
D'ailleurs, pour avoir discuter avec un industriel, il y a tellement de combinaisons et de choix différents possibles, qu'il fabriquait eux-même leurs moteurs. Avoir un "générateur" de moteurs (en fonction de paramètre de puissance, consommation, latence, etc….) pourrait aider.
"La première sécurité est la liberté"
[^] # Re: tweet ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Conférence LinuxFr(.org), mais refaire ?. Évalué à 1.
Ce n'est que ton avis. Je trouve que Twitter est le seul média sociaux qui a un intérêt.
"La première sécurité est la liberté"
[^] # Re: Bravo, sujet rafraîchissant
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Montrez vos bobines. Évalué à 3.
Tu en as fait pas mal d'élec pour la coupe e=m6 pourtant :) Tu ne connais pas déjà tout ?
"La première sécurité est la liberté"
[^] # Re: bipède ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Les diodes ne sont pas toutes des lumières. Évalué à 6.
ça dépend. Si c'est un jeu de mots fait exprès, on peut le dire.
"La première sécurité est la liberté"
[^] # Re: tweet ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Conférence LinuxFr(.org), mais refaire ?. Évalué à 7.
Je crois que tu n'as rien compris au principe du tweet :) Le problème n'est pas d'avoir des lecteurs, le problème est d'avoir des auteurs. Tu peux préférer un truc bien rédigé, si tu ne trouves personne pour le faire, ce document n'existera jamais.
Le résumé dont tu parles existe déjà sur la 1er page.
"La première sécurité est la liberté"
# tweet ?
Posté par Nicolas Boulay (site web personnel) . En réponse à la dépêche Conférence LinuxFr(.org), mais refaire ?. Évalué à 6.
Quand les blog sont devenu à la mode vous avez créer les "journaux" pour suivre ce nouveau mode d'édition. Ils serait temps de faire une nouvelle page "log" sur le mode de twitter avec un contenu à mis chemin entre la tribune de rédaction et les journaux. La limite de taille permet une limite du temps de rédaction.
Au début, je trouvais twitter inutile, mais c'était avant de comprendre le coté fondamentale du fait de réduire le temps d'écriture du tweet.
La taille idéale devrait être de 2 ou 3 lignes de tribunes maximum, non compris les url (limité à 2 ou 3). Il faudrait aussi une prévu d'image. C'est archivé et indexé. On peut limiter le nombre de postes par jour et par compte.
Les "réponses" aux tweets pourraient être simplement le système de commentaires habituelles.
"La première sécurité est la liberté"
[^] # Re: Analogie
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Toute résistance n’est pas futile.. Évalué à 3.
Il y a une emmission US genre "myth buste", qui a fait tomber une plume et un morceau de métal dans une chambre à vide énorme. Les 2 tombent en même temps.
"La première sécurité est la liberté"
[^] # Re: chaud
Posté par Nicolas Boulay (site web personnel) . En réponse au journal Tagless-final ou l'art de l'interprétation modulaire.. Évalué à 3.
Je viens de comprendre que tu n'as jamais de représentation en mémoire, donc si l'expression est généré dans les faits, la génération est "refaite" à chaque type d’interprétation (eval ou pretty print)
"La première sécurité est la liberté"
[^] # Re: Ha les intégristes du libre...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De l'autarcie du projet GNU, ou comment Emacs ne veut pas devenir EmacOs. Évalué à 3.
J'ai l'impression que tu mélanges l'usage d'un outil comme gcc (le code de gcc est gpl, mais pas les le code des exe compilé avec), et la dépendances entre lib binaire (ton .so).
Ce n'est pas parce que gcc est sous GPL, que tout code l'utilisant est GPL. Par contre, toutes lib GPL, entraînent un code GPL. Dans le cas d'une base de donnée MYSQL, si ton code ne sais parler que mysql, et rien d'autre, si mysql est GPL, ton code aussi.
"La première sécurité est la liberté"
[^] # Re: Ha les intégristes du libre...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De l'autarcie du projet GNU, ou comment Emacs ne veut pas devenir EmacOs. Évalué à 3.
Personne ne t'oblige à réutiliser du code GPL, aucun soucis.
Elle est majeur. Le droit d'auteur est sur le code, pas sur un artefact généré par du code. Il est impossible de faire un produit dérivé (au sens légal) entre du code généré, et un autre code. Par exemple, gcc compile un code propriétaire, il n'y a aucune licence pour ça. La seul licence spécifique, c'est pour le bout de lib qui appele le main(libgcc ou le crt0, un truc du genre)
"La première sécurité est la liberté"
[^] # Re: Ha les intégristes du libre...
Posté par Nicolas Boulay (site web personnel) . En réponse au journal De l'autarcie du projet GNU, ou comment Emacs ne veut pas devenir EmacOs. Évalué à 5.
Uniquement si tu raisonnes comme un mec qui veut baiser la GPL, le principe de développement du soft, et les développeurs du code, qui demandent uniquement que les utilisateurs jouent le jeu.
Le principe est ultra simple : si tu dépends d'un code (et uniquement d'un code, pas d'un outil) GPL, tu es forcément en GPL.
"La première sécurité est la liberté"