3. comment fais-tu pour rendre les fichiers accessibles au téléchargement après l'upload s'ils sont en dehors de l'aborescence Web ?
Il y a la méthode autre serveur sur le port 8080 sans possibilité de scripts ou cgi. Donc tu dois adapter tes liens (http://www.example.com:8080/fichier.jpeg) ou alors directement depuis ton script php (mes_fichiers.php?id=xxx).
Tu peux toujours utiliser une réécriture apache pour ça (www.example.com/fichiers/fichiers.jpeg -> www.example.com:8080/fichiers.jpeg), c'est transparent ou alors directement un autre serveur (fichier.example.com/fichier.jpeg). Tu retrouves cette dernière méthode sur des trucs comme yahoo (http://l.yimg.com/a/i/ww/beta/y3.gif).
J'aime bien la méthode autre serveur web juste pour les fichiers statiques. Mais ça dépend pourquoi tu le fais, sur un hébergement mutualisé, tu ne pourrais pas le faire.
4. L'autre problème ...
Oui, c'est pas parfait, ça dépend après ce que tu veux. J'aime bien avoir un fichier htaccess, qui généralement a les droits suivant : root:web 0664. Le groupe web étant les personnes autorisées à modifier les sites web.
Dans le cas d'un hébergement mutualisé, on pourrait imaginer avoir ftpuser:www-data 0640 (ftpuser étant différent pour chaque utilisateur, bien entendu).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Au minimum /usr et surtout, avec Debian : DPKG {
Pre-Invoke {
"mount -o rw,remount /usr";
}
Post-Invoke {
"mount -f -o ro,remount /usr";
}
}
Dans apt.conf te permets "d'oublier" tranquillement que tu as ton système en lecture seule.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Et si tu fais de l'hébergement, par exemple, tu es certain que la plus grande partie de tes scripts php sont du gruyère. Donc tu trouves des solutions à ces problèmes.
Pas de négotiation possible.
Pas une question de négociation, ton job c'est de faire tourner des scripts (tout pourri) sur des serveurs, donc soit tu fais le job, soit tu en trouves un autre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
3. Pour éviter que le pirate ne puisse exécuter des fichiers PHP dans le dossier où les fichiers sont uploadés, j'ajoute ceci dans le virtualhost:
Tu ferais pas mieux de mettre ton répertoir d'upload à l'extérieur de l'arborescence web ?
4. Desactivation des .htaccess via AllowOverride None: Ainsi, le pirate ne pourra pas modifier la configuration d'Apache
Il faut penser à rapatrier tous les .htaccess dans la configuration du virtualhost
root:root 0644 sur .htaccess permet d'éviter des modifications. Car pour faire des petites redirections ça reste super pratique.
5. Désactiver les informations de version fournies par Apache via ServerTokens et ServerSignature
Je sais pas si ça a beaucoup d'importance, mais c'est pas un mal non plus.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Les autres, ils ne sont pas connus et ne sont pas considérés comme "les pères de ...", ils ne seront jamais dans un dictionnaire, une encyclopédie ou un livre, donc ils ne risquent pas de ternir l'histoire du pays. Il n'y a donc aucune raison de s'excuser.
De plus, trop s'excuser sur ce genre de sujets pourrait froisser des extrémistes religieux qui ont une forte influence sur les relations commerciales.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Oui un peu, mais envahir le japon aurait coûté beaucoup trop (vie et argent). C'était donc une démonstration de force pour faire plier l'adversaire sans devoir mettre le pied chez lui.
Par contre c'est d'avoir choisi une ville qui a été une mauvaise idée, un aéroport militaire important aurait peut-être eu le même impact.
Mais bon on peut pas refaire l'histoire non plus.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Le deuxième bombardement était plus une expérience qu'un besoin réel. La deuxième bombe (Fat Man, type implosion) étant un autre type de bombe que la première (Little Boy, type "pistolet").
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Cela dépend encore de l'utilisation. Une connaissance m'a suggéré une utilisation intéressante :
Lorsque je m'authentifie sur mon système de e-banking (par exemple), je dois rentrer mon nom d'utilisateur, mon mot de passe et une valeur prise sur une carte fournie par ma banque. Cette carte comporte 100 valeurs, ce qui fait un nombre de possibilités très réduites pour une seule carte. Les valeurs sur cette carte peuvent être utilisée qu'une seule fois, ce qui veut dire qu'après 100 authentifications, une nouvelle carte doit-être générée. De plus la liste des valeurs utilisées doit être conservées, ainsi que la carte complète.
L'idée est donc de généré une carte à partir d'informations connues uniquement par la banque (un code aléatoire généré par la banque). Ce code doit être conservé par la banque, mais il peut être crypté (à l'aide du mot de passe de l'utilisateur). Donc du côté de la banque on ne garde que le code de génération de la carte (crypté).
Lors de l'authentification, l'utilisateur rentre son nom d'utilisateur, son mot de passe et un code issu de sa carte. Le système va donc choisir, par exemple, 6 caractères totalement au hasard (genre N4, E8, A1, B9, Z3, W7) et l'utilisateur va prendre les caractères sur sa carte et les introduire.
Ensuite le système va utiliser le mot de passe pour décrypter le code de génération de la carte, généré la carte, prendre les valeurs proposées et si elles sont correctes, accepter l'utilisateur.
Avec ce système, l'unique personne à avoir toutes les informations pour s'authentifier est l'utilisateur. La carte à une durée de vie très longue et il n'y a pas besoin de tenir un historique des utilisations (il est possible de le faire, mais pas nécessaire). On ne stocke pas la carte, mais uniquement les informations pour la produire. On garde le maximum de possibilité disponible (89^n (je crois), car il faut aussi enlever les touches mortes (ce qui actuellement n'est pas fait sur mes cartes et ce n'est pas pratique à utiliser, je suis sur le correctif (en fait je dois juste le publier, c'est déjà corrigé)) et enlever le 0 O o l 1 (facile à confondre) soit 83^n).
Donc pour un code à 6 caractères, on a > 336e9 possibilités.
Je sais pas si c'est mieux, mais ça à l'air bien.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
De quels us et coutume tu parles? Tu penses qu'il y a un modèle de société ... [snip] ...
Une société n'est pas une idée, c'est un fait. Une société c'est des gens qui tendent vers le même objectif. À partir du moment où il y a des gens, il y a des coutumes.
Le logiciel Libre est une société composée de gens qui ont deux objectifs principaux :
- Faire du code source libre
- En vivre
Il y a des habitudes qui se sont créées, des coutumes, dans cette société. Et il est important de les respecter. Celui qui ne veux pas vivre selon ces coutumes, il peut créer une société différente, si des gens le suivent.
Tu montres que c'est un choix de business model : comment être meilleur que les concurrents en place.
Rien à voir avec un modèle sociétal.
Oui dans cette société il y a au moins un modèle économique. Mais un modèle économique est dépendant d'une société, car pour avoir une économie, il faut une société. Un modèle économique est un sous ensemble d'une société, les coutumes aussi.
C'est assez logique, vu qu'il n'y en a pas ;-).
Non. Dès qu'il y a des gens (qui vont dans le même sens), il y a société. C'est toi qui n'en veut pas, parce que ça t'arrange. Mais effectivement il y a une société.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Certains libristes en font un choix politique, et se plaisent à penser que tous ceux qui font du libre ont la même idéologie qu'eux, ce qui est totalement faux (à commencer par les plus gros projets libres donc...)
Non. C'est un choix idéologique qui a amené le logiciel Libre. Ceux qui choisissent le logiciel Libre comme une solution "technique", ils doivent se plier aux us et coutumes du mouvement.
Ensuite au niveau de "la solution technique". De nouveau Linus a eu le choix : faire un noyau, le garder en propriétaire et rester un inconnu ou alors libérer le code et devenir une personne reconnue.
C'est pas une solution technique, c'est un choix entre exister ou disparaître. À moins que tu ne révolutionnes l'informatique, tu n'as aucune chance d'apporter ta solution dans l'informatique d'aujourd'hui sans passer par le logiciel Libre. Le reste du marché étant étouffé par des géants comme Microsoft, Apple ou Adobe.
Le libre est neutre politiquement
aucune vocation à changer de modèle de société
Ben non, il l'a déjà fait. Le modèle "créer un logiciel, libérer son code et faire du business avec les services autour du logiciel" est un nouveau modèle qui existe grâce au logiciel Libre. De plus c'est un modèle tellement ultra-libéral que même les extrêmes droites économiques n'oseraient le proposer.
Dans le cas du service sur un logiciel Libre, on est dans un cas de concurrence parfait. Tous les acteurs ont exactement la même donnée, c'est leurs compétences qui font la différence, c'est mieux que l'économie de marché a brevet qui biaise la concurrence. C'est, dans un sens, l'absolu du capitalisme.
Et d'un autre côté le logiciel Libre est la collaboration ouverte entre personnes, chacun tire à la même corde et reçoit exactement la même chose. Tu reçois la même chose que Linus de la part du logiciel Libre. C'est donc du communisme. C'est les masses laborieuses qui décident de l'évolution, ce n'est pas une poignée de nantis. Regarde le projet Debian.
Donc oui, le logiciel ne veut pas changer de modèle de société puisque c'est un modèle unique et nouveau qui allie le communisme et le capitalisme.
Sérieux plus j'y penses, plus je me dis que celui qui a inventé ça est un génie.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Bon la version 1 étant codée à la Rache, les résultats étaient différents entre x86 et x86_64.
La version 2[1] a été testée sur x86, x86_64 et sparc32 (ma bonne vieille station sun) et les résultats sont identiques. Les fonctions de PRNG et de CRC ont été embarquées dans le code, les lettres 0,O, o, 1 et l ont été supprimées du résultat en sortie.
La sortie est plus générique puisque c'est du csv (la première ligne est l'ID de la carte), donc facilement utilisable pour générer n'importe quel format.
Finalement la version 2 a un code plus propre, mais toujours codé à la Rache (mais moins). Le PRNG vient de "man 3 rand" légèrement modifié, le CRC est un Adler-32 tel que décrit sur wikipédia. Pour réduire la faiblesse de Adler-32 (fonctionne mal sur une centaine d'octets), l'ID est généré à l'aide de l'adresse email + l'adresse email xorée 32 fois avec 32 valeurs choisies manuellement.
Et c'est aussi utile pour simplement avoir des mots de passes de bonne qualité. En fait c'est pour ça que j'utilise ces grilles. J'ai un chemin, toujours le même, et je me souviens uniquement du point de départ (donc deux caractères).
Les cartes que j'ai eu jusqu'à maintenant avaient uniquement des nombre, des lettres (minuscule et majuscule) et un caractère spécial qui pouvait être ajouté à la fin du chemin.
Là j'ai tout sur la carte et ça peut me faire des mots de passe genre "fj*6(/)RT&64db)(".
Après pour attaquer en brute-force ce genre de mot de passe c'est difficile. Si tu as la carte il faut encore connaître le chemin utilisé par la personne et le point de départ.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Non, le système idéal existe, il s'agit de la télépathie, tu t'approches de ton ordi et hop il lit dans ton subconscient et peut ainsi t'authentifier.
Non plus sérieusement il y a les cartes à puces avec un code PIN et une clé GPG dessus, je suis en train de mettre ça en place chez moi, mais pas eu le temps ces dernières semaines.
J'utilises ces cartes pour mettre des mots de passes sur des services web, parce que sinon j'ai tendance à utiliser mes mots de passes (ceux qui sont dans ma tête, donc écrit nul part) et finalement dans ceux que j'ai avec nombres, lettres et caractère spéciaux, il y a celui de ma clé GPG. Je veux pas l'utiliser sur internet (c'est dur à mémoriser des mots de passse pareils).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
N’utilisez pas cette fonction dans
des applications conçues pour être portables et lorsqu’un bon caractère
aléatoire est nécessaire. (Utilisez plutôt random(3))
Alors je change pour utiliser srandom et random qui semblent être bien pour ça.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Développé à la Rache, donc ça devrait être bon.
Plus sérieusement, je fais un CRC de l'adresse email (php avec la fonction crc32), j'utilise cette valeur pour srand et je génère les nombre avec rand, donc en théorie ça devrait tenir.
Le problème étant que je veux faire passer ça sur une taille carte de crédit. Donc j'ai fais de mon mieux, mais la page étant une simple page html avec le css "inline", il est facile de modifier la présentation pour d'autres besoins.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Non, pas vraiment, il faut qu'il connaisse comment tu choisis ton mot de passe dedans. Tu peux dire je pars de N5 je vais trois fois à gauche, deux fois en haut, une fois à droite et quatre fois à gauche.
La carte c'est juste 10x26 caractères aléatoires que tu utilises comme tu le souhaites.
Mais si vraiment tu te sens pas en sécurité, tu peux mettre une chaîne de caractère aléatoires pour générer ta carte, je ne contrôle pas si c'est une adresse est valide ou pas, je la plante directe dans crc32 de php et j'obtiens un nombre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Les libristes font sûrement plus que Sony pour la culture. Les artistes peuvent créer de la musique (ou film, ou autre) avec des logiciels Libres. Les artistes peuvent faire la promotion de leur oeuvre avec des logiciels Libres (site web avec des CMS).
Le seul problème c'est que les artistes qui passent par ces méthodes n'a pas forcément besoin d'une maison de disque, et donc ils vont pas gagner d'argent dessus.
Les tueurs de la musique sont bien les maisons de disques. Ma collection de CDs ressemble plus à une bibliothèque d'articles de lois sur le piratage qu'une collection de CDs.
J'achète une réédition pour les 40 ans des Pink Floyd (réédition du premier CD avec des trucs en plus), le coffret contient un bon paragraphe sur le piratage.
J'achète un CD des Animals, un gros logo "FBI Anti-Piracy" sur +50% de la surface du CD.
J'achète un DVD, je dois attendre que la partie légale défile sur l'écran avant de pouvoir regarder mon film.
Je vais voir John Fogerty au Montreux Jazz, avant le concert dix minutes d'explication que pirater c'est mal.
Je mets mon CD de Roger Waters dans l'ordi pour le convertir en OGG afin de le mettre sur mon lecteur audio portable, y'a des protections a contourner.
Et la liste peut s'étendre encore longtemps.
Les seules personnes avec qui je discutent de ces problèmes sont mes amis qui, comme moi, continuent à acheter leurs CDs sur le marché (et comme moi sont dégoutés la même chose). Tous ceux qui piratent n'ont jamais entendu parler de ces problèmes.
Donc oui, en 2009, j'ai diminué mes achats de CDs et j'ai commencé à télécharger sur Pirate Bay et Co. Le jour où l'offre pour les CDs légaux deviendra à nouveau honnête je recommencerais à commander 3 à 5 CDs par mois.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Mes remarques ...
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Sécurisation d'applications PHP hébergées sur du LAMP. Évalué à 2.
Il y a la méthode autre serveur sur le port 8080 sans possibilité de scripts ou cgi. Donc tu dois adapter tes liens (http://www.example.com:8080/fichier.jpeg) ou alors directement depuis ton script php (mes_fichiers.php?id=xxx).
Tu peux toujours utiliser une réécriture apache pour ça (www.example.com/fichiers/fichiers.jpeg -> www.example.com:8080/fichiers.jpeg), c'est transparent ou alors directement un autre serveur (fichier.example.com/fichier.jpeg). Tu retrouves cette dernière méthode sur des trucs comme yahoo (http://l.yimg.com/a/i/ww/beta/y3.gif).
J'aime bien la méthode autre serveur web juste pour les fichiers statiques. Mais ça dépend pourquoi tu le fais, sur un hébergement mutualisé, tu ne pourrais pas le faire.
4. L'autre problème ...
Oui, c'est pas parfait, ça dépend après ce que tu veux. J'aime bien avoir un fichier htaccess, qui généralement a les droits suivant : root:web 0664. Le groupe web étant les personnes autorisées à modifier les sites web.
Dans le cas d'un hébergement mutualisé, on pourrait imaginer avoir ftpuser:www-data 0640 (ftpuser étant différent pour chaque utilisateur, bien entendu).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Apple
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Alan Turing reçoit des excuses posthumes. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Des principes, en vrac, que j'utilise
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Sécurisation d'applications PHP hébergées sur du LAMP. Évalué à 6.
DPKG {Pre-Invoke {
"mount -o rw,remount /usr";
}
Post-Invoke {
"mount -f -o ro,remount /usr";
}
}
Dans apt.conf te permets "d'oublier" tranquillement que tu as ton système en lecture seule.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: bon sens
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Sécurisation d'applications PHP hébergées sur du LAMP. Évalué à 7.
Pas de négotiation possible.
Pas une question de négociation, ton job c'est de faire tourner des scripts (tout pourri) sur des serveurs, donc soit tu fais le job, soit tu en trouves un autre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Mes remarques ...
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Sécurisation d'applications PHP hébergées sur du LAMP. Évalué à 5.
Tu ferais pas mieux de mettre ton répertoir d'upload à l'extérieur de l'arborescence web ?
4. Desactivation des .htaccess via AllowOverride None: Ainsi, le pirate ne pourra pas modifier la configuration d'Apache
Il faut penser à rapatrier tous les .htaccess dans la configuration du virtualhost
root:root 0644 sur .htaccess permet d'éviter des modifications. Car pour faire des petites redirections ça reste super pratique.
5. Désactiver les informations de version fournies par Apache via ServerTokens et ServerSignature
Je sais pas si ça a beaucoup d'importance, mais c'est pas un mal non plus.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: C'est bien mais ça ne suffit pas…
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Alan Turing reçoit des excuses posthumes. Évalué à 3.
De plus, trop s'excuser sur ce genre de sujets pourrait froisser des extrémistes religieux qui ont une forte influence sur les relations commerciales.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Tiens, on est déjà vendredi ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Le système que j'utilise est-il libre ?. Évalué à 2.
Dans ce cas ils n'auraient pas pris le risque de tester un nouveau type de bombe. Les deux bombes ont un fonctionnement totalement différent.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Tiens, on est déjà vendredi ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Le système que j'utilise est-il libre ?. Évalué à 2.
Par contre c'est d'avoir choisi une ville qui a été une mauvaise idée, un aéroport militaire important aurait peut-être eu le même impact.
Mais bon on peut pas refaire l'histoire non plus.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Défaite
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Une victoire pour la messagerie libre ?. Évalué à 10.
Non car il y a un point d'interrogation ! C'est une bonne question.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Tiens, on est déjà vendredi ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Le système que j'utilise est-il libre ?. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
Lorsque je m'authentifie sur mon système de e-banking (par exemple), je dois rentrer mon nom d'utilisateur, mon mot de passe et une valeur prise sur une carte fournie par ma banque. Cette carte comporte 100 valeurs, ce qui fait un nombre de possibilités très réduites pour une seule carte. Les valeurs sur cette carte peuvent être utilisée qu'une seule fois, ce qui veut dire qu'après 100 authentifications, une nouvelle carte doit-être générée. De plus la liste des valeurs utilisées doit être conservées, ainsi que la carte complète.
L'idée est donc de généré une carte à partir d'informations connues uniquement par la banque (un code aléatoire généré par la banque). Ce code doit être conservé par la banque, mais il peut être crypté (à l'aide du mot de passe de l'utilisateur). Donc du côté de la banque on ne garde que le code de génération de la carte (crypté).
Lors de l'authentification, l'utilisateur rentre son nom d'utilisateur, son mot de passe et un code issu de sa carte. Le système va donc choisir, par exemple, 6 caractères totalement au hasard (genre N4, E8, A1, B9, Z3, W7) et l'utilisateur va prendre les caractères sur sa carte et les introduire.
Ensuite le système va utiliser le mot de passe pour décrypter le code de génération de la carte, généré la carte, prendre les valeurs proposées et si elles sont correctes, accepter l'utilisateur.
Avec ce système, l'unique personne à avoir toutes les informations pour s'authentifier est l'utilisateur. La carte à une durée de vie très longue et il n'y a pas besoin de tenir un historique des utilisations (il est possible de le faire, mais pas nécessaire). On ne stocke pas la carte, mais uniquement les informations pour la produire. On garde le maximum de possibilité disponible (89^n (je crois), car il faut aussi enlever les touches mortes (ce qui actuellement n'est pas fait sur mes cartes et ce n'est pas pratique à utiliser, je suis sur le correctif (en fait je dois juste le publier, c'est déjà corrigé)) et enlever le 0 O o l 1 (facile à confondre) soit 83^n).
Donc pour un code à 6 caractères, on a > 336e9 possibilités.
Je sais pas si c'est mieux, mais ça à l'air bien.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Hmmm ..
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Nous sommes des "totalitaristes" et même pire.... Évalué à 2.
Une société n'est pas une idée, c'est un fait. Une société c'est des gens qui tendent vers le même objectif. À partir du moment où il y a des gens, il y a des coutumes.
Le logiciel Libre est une société composée de gens qui ont deux objectifs principaux :
- Faire du code source libre
- En vivre
Il y a des habitudes qui se sont créées, des coutumes, dans cette société. Et il est important de les respecter. Celui qui ne veux pas vivre selon ces coutumes, il peut créer une société différente, si des gens le suivent.
Tu montres que c'est un choix de business model : comment être meilleur que les concurrents en place.
Rien à voir avec un modèle sociétal.
Oui dans cette société il y a au moins un modèle économique. Mais un modèle économique est dépendant d'une société, car pour avoir une économie, il faut une société. Un modèle économique est un sous ensemble d'une société, les coutumes aussi.
C'est assez logique, vu qu'il n'y en a pas ;-).
Non. Dès qu'il y a des gens (qui vont dans le même sens), il y a société. C'est toi qui n'en veut pas, parce que ça t'arrange. Mais effectivement il y a une société.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Hmmm ..
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Nous sommes des "totalitaristes" et même pire.... Évalué à 2.
Non. C'est un choix idéologique qui a amené le logiciel Libre. Ceux qui choisissent le logiciel Libre comme une solution "technique", ils doivent se plier aux us et coutumes du mouvement.
Ensuite au niveau de "la solution technique". De nouveau Linus a eu le choix : faire un noyau, le garder en propriétaire et rester un inconnu ou alors libérer le code et devenir une personne reconnue.
C'est pas une solution technique, c'est un choix entre exister ou disparaître. À moins que tu ne révolutionnes l'informatique, tu n'as aucune chance d'apporter ta solution dans l'informatique d'aujourd'hui sans passer par le logiciel Libre. Le reste du marché étant étouffé par des géants comme Microsoft, Apple ou Adobe.
Le libre est neutre politiquement
aucune vocation à changer de modèle de société
Ben non, il l'a déjà fait. Le modèle "créer un logiciel, libérer son code et faire du business avec les services autour du logiciel" est un nouveau modèle qui existe grâce au logiciel Libre. De plus c'est un modèle tellement ultra-libéral que même les extrêmes droites économiques n'oseraient le proposer.
Dans le cas du service sur un logiciel Libre, on est dans un cas de concurrence parfait. Tous les acteurs ont exactement la même donnée, c'est leurs compétences qui font la différence, c'est mieux que l'économie de marché a brevet qui biaise la concurrence. C'est, dans un sens, l'absolu du capitalisme.
Et d'un autre côté le logiciel Libre est la collaboration ouverte entre personnes, chacun tire à la même corde et reçoit exactement la même chose. Tu reçois la même chose que Linus de la part du logiciel Libre. C'est donc du communisme. C'est les masses laborieuses qui décident de l'évolution, ce n'est pas une poignée de nantis. Regarde le projet Debian.
Donc oui, le logiciel ne veut pas changer de modèle de société puisque c'est un modèle unique et nouveau qui allie le communisme et le capitalisme.
Sérieux plus j'y penses, plus je me dis que celui qui a inventé ça est un génie.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Version 2
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 3.
La version 2[1] a été testée sur x86, x86_64 et sparc32 (ma bonne vieille station sun) et les résultats sont identiques. Les fonctions de PRNG et de CRC ont été embarquées dans le code, les lettres 0,O, o, 1 et l ont été supprimées du résultat en sortie.
La sortie est plus générique puisque c'est du csv (la première ligne est l'ID de la carte), donc facilement utilisable pour générer n'importe quel format.
Finalement la version 2 a un code plus propre, mais toujours codé à la Rache (mais moins). Le PRNG vient de "man 3 rand" légèrement modifié, le CRC est un Adler-32 tel que décrit sur wikipédia. Pour réduire la faiblesse de Adler-32 (fonctionne mal sur une centaine d'octets), l'ID est généré à l'aide de l'adresse email + l'adresse email xorée 32 fois avec 32 valeurs choisies manuellement.
J'ai bien gagner mon week-end là, non ?
[1] http://www.tchetch.net/passcard/passcard2.c
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
Les cartes que j'ai eu jusqu'à maintenant avaient uniquement des nombre, des lettres (minuscule et majuscule) et un caractère spécial qui pouvait être ajouté à la fin du chemin.
Là j'ai tout sur la carte et ça peut me faire des mots de passe genre "fj*6(/)RT&64db)(".
Après pour attaquer en brute-force ce genre de mot de passe c'est difficile. Si tu as la carte il faut encore connaître le chemin utilisé par la personne et le point de départ.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: carte à puce
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 7.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
Non plus sérieusement il y a les cartes à puces avec un code PIN et une clé GPG dessus, je suis en train de mettre ça en place chez moi, mais pas eu le temps ces dernières semaines.
J'utilises ces cartes pour mettre des mots de passes sur des services web, parce que sinon j'ai tendance à utiliser mes mots de passes (ceux qui sont dans ma tête, donc écrit nul part) et finalement dans ceux que j'ai avec nombres, lettres et caractère spéciaux, il y a celui de ma clé GPG. Je veux pas l'utiliser sur internet (c'est dur à mémoriser des mots de passse pareils).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pérennité ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
N’utilisez pas cette fonction dans
des applications conçues pour être portables et lorsqu’un bon caractère
aléatoire est nécessaire. (Utilisez plutôt random(3))
Alors je change pour utiliser srandom et random qui semblent être bien pour ça.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pérennité ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
Plus sérieusement, je fais un CRC de l'adresse email (php avec la fonction crc32), j'utilise cette valeur pour srand et je génère les nombre avec rand, donc en théorie ça devrait tenir.
Mais tu peux juger par toi-même :
http://www.tchetch.net/passcard/passcard.c
http://www.tchetch.net/passcard/passcard.php.txt
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Dans ldap.conf
Posté par Etienne Bagnoud (site web personnel) . En réponse au message OpenLDAP / SSL. Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Conseil
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Conseil
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: sauf que
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Carte pour mot de passe. Évalué à 4.
La carte c'est juste 10x26 caractères aléatoires que tu utilises comme tu le souhaites.
Mais si vraiment tu te sens pas en sécurité, tu peux mettre une chaîne de caractère aléatoires pour générer ta carte, je ne contrôle pas si c'est une adresse est valide ou pas, je la plante directe dans crc32 de php et j'obtiens un nombre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Y'en a vraiment
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Nous sommes des "totalitaristes" et même pire.... Évalué à 10.
Le seul problème c'est que les artistes qui passent par ces méthodes n'a pas forcément besoin d'une maison de disque, et donc ils vont pas gagner d'argent dessus.
Les tueurs de la musique sont bien les maisons de disques. Ma collection de CDs ressemble plus à une bibliothèque d'articles de lois sur le piratage qu'une collection de CDs.
J'achète une réédition pour les 40 ans des Pink Floyd (réédition du premier CD avec des trucs en plus), le coffret contient un bon paragraphe sur le piratage.
J'achète un CD des Animals, un gros logo "FBI Anti-Piracy" sur +50% de la surface du CD.
J'achète un DVD, je dois attendre que la partie légale défile sur l'écran avant de pouvoir regarder mon film.
Je vais voir John Fogerty au Montreux Jazz, avant le concert dix minutes d'explication que pirater c'est mal.
Je mets mon CD de Roger Waters dans l'ordi pour le convertir en OGG afin de le mettre sur mon lecteur audio portable, y'a des protections a contourner.
Et la liste peut s'étendre encore longtemps.
Les seules personnes avec qui je discutent de ces problèmes sont mes amis qui, comme moi, continuent à acheter leurs CDs sur le marché (et comme moi sont dégoutés la même chose). Tous ceux qui piratent n'ont jamais entendu parler de ces problèmes.
Donc oui, en 2009, j'ai diminué mes achats de CDs et j'ai commencé à télécharger sur Pirate Bay et Co. Le jour où l'offre pour les CDs légaux deviendra à nouveau honnête je recommencerais à commander 3 à 5 CDs par mois.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell