oinkoink_daotter a écrit 1695 commentaires

Certes. Mais c'est cohérent avec ce que j'ai dit, non ? L'important c'est que le CC ne touche en aucun cas au texte de la constitution.

Aucun intérêt.

Oui, c'est pas bien. Mais il n'y a pas de préjudice (il est probable que le site en question n'a pas gagné d'argent en utilisant la photo), hormis un pincement à l'amour propre. Donc il obtiendra au mieux une audience dans deux ans où s'il arrive à prouver que la photo a été utilisée (elle a été retirée, donc compliqué pour le constat d'huissier), que c'était la même photo (expertise), que les droits lui appartiennent, il obtiendra peut-être 1€ de dommages et intérêts, et 200€ de remboursements de frais de justices grand max (donc il en sera de sa poche).

Donc au mieux, victoire à la Pyrrhus, au pire déboutage ou classement sans suite.

En France les décisions du conseil constitutionnel amendent/clarifient la constitution.

Amendent ? Non. Il valide ou censure des articles de loi en fonction de l'esprit de la constitution.

Qui plus est, l'Europe que tout le monde critique, l'a fait il y a un an. Et les état membres sont en passe d'implémenter les amendements fait à la directive 2002/20/CE (qui incluent la neutralité du net)

Oui, mais en vrai, pendant ce temps au conseil européen : http://www.nextinpact.com/news/91137-le-conseil-europeen-ne-trouve-pas-d-accord-sur-neutralite-net-et-roaming.htm

Sauf que du coup, je ne pense pas que "listen" soit le bon terme.

C'est eavedrop le bon terme.

Oui, en même temps iOS supporte carddav et caldav, lui. Kikoo android _o/

Comme quoi, chacun a ses priorités.

Oui, exact. Par contre les données restent formatées bloc par bloc dans le cache, ce qui rend super compliqués les cas d'usage dans le monde réel, sans collaboration de l'OS à corrompre.

Oula très très compliqué.

Je ne suis pas spécialiste du truc, mais pour moi un disque dur ne connaît pas la nature des données qu'il manipule (il ne connait que le "va lire ou écrire tel bloc à l'adresse machin", le reste lui passe au dessus de la tête).

Ca rend la détection et le remplacement de fichiers très hasardeux et complexe (il n'y a pas vraiment de liens entre l'écriture dans la table d'alloc et le contenu des fichiers). Je n'ai pas l'accès à la video flash, mais je ne vois pas comment il a pu faire d'autre dans le cas du remplacement de mot de passe qu'un équivalent memcmp/strstr bourrin sur un pattern genre "root:dollar1dollar" (cochonnerie de markdown) pour ensuite remplacer ce qu'il y a derrière. Autant ça marche bien sur un truc aussi trivial (classiquement la ligne en question est en début de fichier, et donc en début de cluster), autant ça devient rapidement complexe si l'on veut faire un remplacement à cheval sur deux clusters, comme ça va être le cas pour un binaire (>512bytes). Pour le disque, deux clusters lus l'un à la suite de l'autre restent deux clusters indépendants.

Ensuite l'impact sur les perfs doit être assez catastrophique, car l'opération doit être faite sur chaque secteur lu ou écrit, car on ne sait pas à l'avance sur quel(s) cluster(s) est le fichier intéressant, et il est probable que les CPU soient dimensionnés en fonction de leur usage prévu et pas forcément pour encaisser une analyse temps réel supplémentaire à 150+Mo/sec.

Compliqué !

<minute pédante>
Attention à la terminologie, in "I7 à 4 double cœur", ça ne fait pas 8 cœurs, mais 4 coeurs hyperthread-és (et c'est pô pareil).
</minute pédante>

Mais un malware en mémoire, peut réellement être invisible de l'OS ? J'ai du mal à le croire.

Réellement, non. Mais ça peut être très convaincant. Par exemple, on peut imaginer le chargement d'un module noyau qui déroute les appels d'énumération de modules et qui se petit suicide lorsqu'un autre module chercherait à faire de même ou alors qui se nettoie lorsqu'on charge un module capable de lire la ram noyau (kikoo bitlocker).
Sinon, il est possible de se faire passer pour un hyperviseur.

etc.

Dans le cas des malwares de l'Equation Group, il faut vraiment lire le rapport de Kasperky.

Dans le même ordre idée, le fait que l'OS puisse mettre à jour le microcode du cpu me laisse présager aussi un beau dossier d'ici quelques années. J'ignore si les interruptions du bios sont encore accessibles à cette étape du chargement, mais on dispose d'un accès au matériel et au système sans limite…

Pas sûr. Cela fait longtemps que ça existe, beaucoup de monde aujourd'hui cherche sur ce sujet, mais ce qui a été trouvé laisse entendre que c'est bien fait (http://inertiawar.com/microcode/). Encore faut-il que les fondeurs ne se fassent pas gauler les clefs.
En tout cas, pas le moindre début de vulnérabilité détecté à ma connaissance et il y a des moyens plus simples d'entrer en mode SMM.

L'idée est d'avoir une machine compromise branchée à internet, et de télécommander les autres machines "cibles" via des canaux cachés sur des clefs USB et de récupérer les infos par ce biais. D'après Kasperski, ça a l'air de marcher assez bien.

Le malware final ne tourne pas dans le disque lui même. Il tourne dans l'OS de la machine hôte. Il y a tout un tas de techniques qui permettent au sein de windows, linux ou macos de cacher un malware de façon assez convaincante. Le firmware du disque dur quant à lui, a été modifié pour 1/permettre l'injection de données au moment du boot via la manipulation à la volée du MBR, et 2/à permettre un stockage permanent de données invisibles à l'OS.

Il n'y a effectivement plus de gros pack d'updates pour Mountain Lion […] DL1787

"File Size: 177.4 MB"
Ca fait quand même respectable pour des patchs. Faut que quelqu'un apprenne à apple que les cdn ne sont pas la réponse à tout. Un vrai système de delta maj les aiderait aussi…

Oui, c'est bizarre, c'est ce que je croyais aussi. Je pensais qu'ils supportaient "bien" la version courante, vaguement la version d'avant etpissétout. Sur ce coup là en particulier, d'un côté Apple n'a rien dit, de l'autre on a ces articles, mais houpla< ressort dans les commentaires un patch cumulatif sorti mi janvier 2015. D'ailleurs faut bien noter le conditionnel de l'article qui comme souvent permet d'écrire des trucs rapportés de partout, sans confirmation.

Question d'echelle. Tu rentres dans les 0.01% de gens prets a mettre la moitie du prix de la machine pour conserver un vieux tromblon (oui, c'est un vieux tromblon). C'est ton choix, je t'enleverais pas ca, mais t'attends pas a ce qu'une grosse boite fasse le grand ecart, surtout vu le créneau d'apple.

Dans le cas précis, vers cette époque, le "problème" c'est surtout le passage au 64 bit only, que ce soit au niveau des CPU … ou de l'UEFI.
Je crois que c'est ce qui sauve mon macbouc alu fin 2008 sur ce coup là. Je ne sais pas combien de temps ça va durer.

Euuuuuuh si. Les macounets, ça ne date pas d'hier. Mais il n'y avait pas l'iphone, c'est vrai.

Ben racheter un Mac, pardi :)

Plus sérieusement, pas grand chose. Y a moy de bricoler, mais je n'ai pas creuser. Je sais que pour Linux, y a moyen d'activer plein de trucs avec le powertool(?) d'intel, et que ça améliore bien l'autonomie du bousin. Il y a plein de tutos sur internet.

Ben, tu as écris entre autres :

l'ancien OS ne fonctionne plus ?

Et ptit_poulet a parlé de DEUX versions de retard… Donc on tombe ici sur le lion des montagnes, qui n'est plus supporté apparemment.

Mwai. Utiliser un système qui n'est plus maintenu sous prétexte qu'il marche encore, c'est un peu boarf quand même.

Mais en vivant simplement avec les DRM, ça ne disparaitra pas…
Les DRM dans la musique, les DVD, etc ne disparaitront surement pas tout seul.

Je suis désolé, mais il faut que je te dise que les DRM dans la musique c'est mort depuis quelques années déjà. Par exemple sur l'iTunes store, ça fait 5 ans.

Le systeme devrait gueuler comme un putois si ca arrive. OSX, clairement,

En fait non :-/
Apple a fait un choix raisonnable d'un point de vue commercial mais désastreux d'un point de vue sécurité. Gatekeeper ne fonctionne que pour les binaires où on lui signifie que ce serait sympa qu'il regarde via l'attribut com.apple.quarantine.
En vrai ça donne ça (et c'est bien pourri).

l'offre est volontairement mise en opt-out […] en cliquant volontairement sur la case "oui, je veux"

Opt-in, du coup, non ?

Pour info, je pense à d'autres méthodes (genre "shareware"), en cours de réflexion.

Un shareware bsd oO' ?

La preuve par l’exemple, sur un serveur avec postfix+dovecot :

Tu devrais reprendre ton article car l'utilisation que tu fais de sites-enabled n'est pas canonique. Toi tu crées ton fichier de conf directement dans sites-enabled alors que l'usage qui veut que dans sites-enabled ne se trouvent que des liens vers sites-available. Avantage, du actives ou desactives des vhosts avec un lien symbolique et quand tu supprimes un lien, tu ne perds pas la conf.

Pour les sauvegardes, je ne vois aucun intérêt à gérer les DB à part

Y en a un gros pourtant, c'est que ça permet d'utiliser le service pendant les sauvegardes. Si un des fichiers de base de mysql est modifié durant la sauvegarde, il y a un gros risque de corruption de données. Donc soit tu coupes mysql, soit tu lockes les bases. Dans les deux cas, le service est coupé.

Par exemple, un attaquant doué et équipé qui accède à la machine pendant qu'elle fonctionne pourrait malgré tout lire les données, non ?
Visiblement les disques durs sont chiffrés, il ne suffira pas d'en lire le contenu.

Oula. Dangereusement inexact.
Machine en fonctionnement, le chiffrement LUKS est complètement transparent d'un point de vue utilisateur. Conséquence, il suffit de se connecter à la machine et tu as accès à toutes les données. Même via intrusion réseau.

Il faut bien se rendre compte qu'un chiffrement niveau volume ne protège une machine que lorsque les volumes sont démontés.

On remet ça avec le monstre en cours de gestation dans l'espace de rédaction. La fenêtre de tir a été ratée la semaine dernière et il ne faut pas trop laisser attendre ce genre de trucs, ça finit par faisander.