oinkoink_daotter a écrit 1695 commentaires

Et donc, on donne son numéro de CB sur un site autosigné ou pas ?

Il y a de plus un truc pire que l'absence de sécurité qui est le faux sentiment de sécurité. Quand tout passe en clair, on le sait (ou on devrait le savoir), donc on s'adapte. Si le truc dit que c'est chiffré, c'est bon on peut se lâcher. Euh wait, c'est autosigné, donc c'est pas fiable ? En fait, on va rien dire de sensible. Du coup pourquoi chiffrer ?

edit : Shit, ca m'a bouffé un bout du message.
Enfin, aujourd'hui, les gens dont on cherche à se protéger (FAI, grandes noreilles) s'interressent plus à l'existence d'une communication qu'à son contenu. Du coup chiffrement ou pas, ca n'a pas vraiment d'importance.
Pour finir j'ajouterai que pour ces gens la, le certificat autosigné, c'est que du bonheur

Le https avec un certificat auto-signé c'est le chiffrement sans l'authentification (si le certificat est accepté aveuglément). c'est mieux que sans chiffrement ET sans authentification.

CERTAINEMENT PAS !!!

Sans authentification, tu ne peux garantir la confidentialité. Si t'as de la chance c'est bon, sinon le certificat est forgé par un gars entre toi et le serveur. Et tu es incapable de savoir ce que t'es écouté.

Tu contournes le problème de l'authent par un sybillin "(si le certificat est accepté aveuglément)". Le problème c'est que même en vérifiant les champs du certificat, si tu ne sais pas à quoi t'attendre (en gros avec du certificate pinning ou en connaissant avant les empreintes, ce qui est très rapidement ingérable), tu peux te faire forger TOUS les champs (c'est même faisable à la volée en plus).

Wai, ok.

Mets DES alors, c'est à peu près aussi fiable.

Tu devrais regarder le post de hokata plus bas.

Si l'utilisatrice cherche fnacexpress dans la boite mail dont l'adresse a été indiquée sur le site fnac, ça ne donne rien ?

Je me demande ce qu'il se passe si tu encaisses le chèque, retire l'argent en laissant ton compte à zéro sans autorisation de découvert. Je suppose qu'ils font une autorisation de découvert et te prélèvent le montant ? Que se passe-t-il si le montant du chèque est important (genre plusieurs milliers d'euros)

Tu vis dans quel monde, toi ?
Ce qui se passe, c'est que l'argent est retiré. Il n'y est pas ben tu te retrouves à découvert, t'es à découvert. T'es au delà de ton autorisation ? Ben t'as une commission d'intervention et t'es encore plus à découvert. Ça m'est arrivé pour un très gros chèque qui m'a emmené à -50k€. Ca chiffre vite, des agios sur 50k€.

MS devrait implémenter le standard international bien connu ROT13 pour voir si ça gueule ou pas :-)

Allez, on va assumer qu'il ne faut pas l'utiliser, j'ai pas le temps pour un troll trop long(surtout quand tu mentionnes dual_ec_drbg , sachant que ce sont 2 des developpeurs de la stack crypto de Windows qui ont donne l'alerte sur les trous la dedans).

Je dois bien concéder que je me suis fait plaisir sur ce coup là. Je suis parfaitement au courant de ce que tu écris, mais que veux-tu sur ce sujet la en particulier, tu marches aussi bien qu'albert< quand il voit le mot Microsoft dans un post.

Il faudrait etre absolument STUPIDE pour faire tourner un soft sensible (comme ce soft pense l'etre) sur une plateforme en laquelle on n'a pas confiance. Soit ils estiment que Windows est digne de confiance est alors ils utilisent son generateur aleatoire, soit ils evitent la plateforme car elle est 'pas sure'. Un truc au milieu est une aberration d'un point de vue securite.

Je sais bien (quoique c'est un peu plus compliqué que ça). C'est vaguement mon métier :)

Un container ne sécurise pas une application codé comme les pieds ;-)

C'est surtout fait pour que s'il y a une merde, elle reste confinée au bac à sable (eg. les créations d'adobe). C'est une très bonne solution pour la gestion des applis en boîte noire. C'est donc très adapté au logiciel propriétaire mais aussi à n'importe quel projet un peu d'envergure ou l'on ne peut passer immédiatement 5/6 hommes.mois (plus les tests, c'est important et cher les tests) à adapter le contexte de chaque fonction pour voir de quels droits elle a réellement besoin, en fonction du LSM à la mode sous Linux cette semaine.

[…] C'est une dérive de type Windows de faire du développement en variable globale pour moi…

C'est quoi une dérive de type Windows ? Parce que ce genre d'interventions laisse plutôt un arrière de méconnaissance crasse de la concurrence plus qu'une bonne connaissance des fonctions que l'on a de ce côté du libre.

Sous linux, le /dev/random (le vrai aléas crypto) est trop lent pour ce genre d'opérations (yaka voir à quelle vitesse bloque un cat /dev/random). Celui de Windows, on sait surtout qu'il ne faut pas l'utiliser, agence améwicaine en 3 lettres, DUAL EC machin toussa.

Il te manque la partie sur l'anonymat sur internet, cette zone de non droit remplie de terroristes pédophiles nazis nécrophages/philes.

Ca dépend (ça dépasse).
La FAA a autorisé le truc. L'UE a autorisé le truc. Ne reste plus qu'à ce que les compagnies s'adaptent. AF c'est bon, KLM c'est en cours (des fois c'est oui, des fois c'est non), Alitalia n'a pas encore du recevoir le memo.

Le mieux que j'ai eu c'est KLM : le personnel ne disait pas la même chose suivant les langues (oui ou non suivant que c'était anglais ou en néerlandais/français), alors que la video de safety disait de toute façon oui. De toute façon sur mon expérience sur 1 an 1/2, même quand c'est interdit, les PNC ne râlent que sur les portables et ignorent tout ce qui ressemble à une tablette.

J'ai un peu l'impression que ça dépend du commandant de bord et du chef de cabine (en plus de la position officielle de la compagnie).

C'est systématique en France? Parce que j'imagine d'ici la durée d'embarquement. "Il est conseillé d'arriver 8h avant l'heure de décollage prévue"

Non, bien sur. Ca peut se produire lorsque tu voyages sur une compagnie américaine et que tu fais l'enregistrement face à un être humain.

Le gens n'ont même pas la possibilité de le voir, par exemple grâce à UEFI qui rend bien plus complexe l'installation d'un OS tiers (testé récemment).

Tu parles de quoi ? Des MAJ windows qui explosent le menu de démarrage comme on en a parlé lors d'un tro^wjournal précédent ? Ou bien d'un problème de distribution Linux qui a du mal avec UEFI ? Si c'est le deuxième cas, faut regarder d'où vient la merdouille, mais il est probable qu'il faille blâmer ce délire d'ingénierie qu'est GRUB 2 avant d'aller attaquer la norme.

Peut-on acheter facilement des licences de Windows 8 pour la virtualisation ? (je n'arrive pas à trouver grand chose de clair sur le site officiel)

Euh, hein ?

google://cluf windows 8 => premier résultat => http://www.microsoft.com/en-us/legal/intellectualproperty/UseTerms/default.aspx => chercher Windows/8/FR => chercher virtu=> voir que c'est autorisé sur toutes(?) les éditions (conditions supplémentaires 1.e) => http://www.microsoftstore.com/store/msusa/en_US/pdp/Windows-8.1/productID.288401200 => add to basket => $$$ => Profit

Ce qui est savoureux, c'est qu'apparemment les étasuniens sont venus voir la BNPP en leur disant "attention, ce que vous faîtes est illégal", et que visiblement ça n'a ému personne. Dont acte.

Et après je reçois une petite lettre toute jolie toute mignonne de la BNPP dans ma BAL pour m'expliquer que ça leur a coûté tout plein de mÿards.

(Et quand il y en a, genre CADA, elles se torchent avec).

Euh non, pas vraiment. La HADOPI a pas mal dégusté sur ce point face à Marc Rees de PCNextInpact. Elle aurait bien voulu ne pas répondre mais a du s’exécuter. Elle s'en est ensuite plainte et s'est faite sévèrement recadrer.

Y a aussi ce genre de trucs : http://www.nextinpact.com/dossier/723-au-ministere-on-a-teste-la-transparence-de-la-copie-privee/1.htm

Donc non, pas vraiment. Après, tout n'a peut-être pas vocation à être communiqué au public, mais il est très réducteur de dire que l'administration se torche avec le CADA.

Y a un gros loup potentiellement la dessus : la notion de convention secrète de déchiffrement n'est jamais définie. Ce n'est pas écrit dans la loi, pas de décret d'application. Une interprétation large pourrait être de considérer que "tu prends la case 12 du formulaire A38 qu'on t'a donné le 8 décembre 2012" est déjà une connaissance rentrant dans ce cadre.

Je n'ose même pas imaginer ce que tu dirais de Doors, toi :-)

Chez moi, chacun a son profil… En plus sur Renater, l'anonymat est interdit.

Tu me dis, là, qu'il n'y a pas de machine multi utilisateur sur Renater ?

Et que donc en gros, en arrivant dans une Fac, un étudiant va utiliser une seule et unique machine qui lui sera allouée à lui seul, et que donc il n'y a pas de salle de TP avec des machines ? Permet moi de loler respectueusement. Enfin, ce n'est pas parce qu'une machine est multi utilisateur que l'accès au réseau est anonyme. On a les logs d'ouverture de session que l'on peut croiser avec les logs DHCP pour retrouver qui fait quoi à quelle heure.

intégration Java risible (MAJ d'OS obligatoire pour passer à Java 7)

En même temps, y a des OS où l'intégration Java n'est pas risible (voire même intégration tout court en fait) ?

C'est mal dit mais je pense que ce qu'il voulait dire, c'est que les mots de passe sont hashés (en fait c'est plus compliqué que ça) pour donner une clef à la bonne taille qui est elle-même ensuite utilisée comme entrée dans l'algo de chiffrement avec le mode opératoire et l'IV (à peu près tout le temps sauf en mode ECB).

Le patron de la DCRI disait qu'il est beaucoup plus facile de convaincre un ordinateur de parler en clair que de casser du chiffrement, donc on voyait ce qu'il préférait.

Je ne pense pas qu'on sache casser de l'AES 256 en général aujourd'hui même à la NSA, mais que les failles sont plutôt sur les paramètres utilisés (clefs faibles car dérivées de mots de passe faibles, aléas en carton) ou d'utilisation maladroite (réutilisation d'IV en mode compteur par exemple). Après si tu ne veux pas être emmerdé, tu empiles de l'AES et du blowfish, et ça devrait aller. Ou alors tu utilises un masque jetable, mais c'est compliqué à mettre en œuvre, et faut un aléas correct.

on ne condamne pas sans preuve.

En France, aux assises, on peut. Ca s'appelle l'intime conviction.

Et du coup il se passe quoi si tu ne donnes pas le mot passe ?