Je reviens a la charge.
Je t'ai dit que l'implem a ete validee plus haut.
C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier, personne n'ira les lire de toutes facons ('fin si, les attaquants) et meme s'ils lisent, personne ne fera d'audit pousse (ie plus pousse que ce que fait deja la boite d'elle meme) tout simplement parce que ca coute un fric fou et que les gens ont autre chose a foutre que de valider le boulot de son prochain (ou alors ils sont clients, mais tu sais quoi? ils ont les sources!!!! Et plus fort encore, ils (v)ont paye(r)!!! Oui oui, incroyable, hein?).
Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
Alors, les clients en question, c'est des banques.
Si ya attaque, ya des sous qui vont manquer.
Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
Si le process d'authent' est en cause, devines quoi?
Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.
Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
Les concurrents, on s'en fout, ils savent tres bien ce qu'on fait. Et font de toutes facons la meme chose.
Et se contrepetent des details d'implem tres techniques. Et evidemment faut pas compter sur eux pour auditer notre produit.
Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
t'es lourd a rabacher tes grandes idees theoriques, franchement.
L'implem' 3des est fiable. Period.
Je te le dit, j'ai bosse pour eux. T'as le droit de pas me croire, toujours est il que la personne qui a des infos ici, c'est moi.
C'est un pas os, c'est pas un rebreather, c'est une solution crypto, evite les comparaisons a 2 francs.
Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp. Pas sur le 3des en soi.
En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL.
Oui oui, "if it helps for debugging", ca c'est de l'aval hein?
m'enfin...
L'obscurite est pas dans la crypto elle meme, mais dans les manipulation des donnees en entree et le traitement du resultat de la crypto (parce que ton des qui te sort un block de 64bits, tu vas pas l'envoyer brut en hexa, surtout quand l'otp fait 6 digit de long).
L'implementation 3DES hard est de toute facons cachee: implementee en hard dans un puce.
Pour les produits softs, la reponse est facile a trouver (mais compte pas sur moi pour te le dire).
Et validee comme il faut, dans le contexte d'utilisation du token.
Et dans le cas de la boite dont on parle plus bas, ils ont des ressources en interne qui disent si les algos utilises sont bons ou mauvais.
Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
Autant je concoit que la securite par obscurite pure soit une connerie sans nom, autant c'est pas une raison suffisante pour filer toutes les sources aux mechants. Et vu que le retour positif (audit serieux) est nulle, ya aucun interet.
Je dis ca sans animosite aucune, mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
Le piege c'est que les softs proprio ne restreignent aucun droits, vu que tu n'en as aucun sur l'oeuvre intellectuelle de quelqu'un d'autre (ah si, pardon, copie de sauvegarde...).
Le seul qui a des droits dans l'histoire, c'est l'auteur.
L'utilisateur a des conditions d'utilisation, de modification et de redistribution.
Et elles varient beaucoup selon les licences.
J'oubliais: le systeme calculette + carte a puce: t'as juste un certif dans ta carte,donc c'est de l'asymetrique, mais ca change pas fondamentalement le concept.
Et sinon, oui, ce que vendent ces boites c'est essentiellement des cles crypotgraphiques avec un gros boulot d'integration par dessus :)
Ca fait cher la cle 168 bits, effectivement :)
Carte jettable ou calculette, c'est pareil, tout ca c'est de l'OTP. mot de passe qui change avec le temps et/ou un compteur d'evenements et/ou un challenge.
Qu'ils soient generes a la volee ou de facon statique puis envoyer par la poste, fax ou a dos de corbeau, ca revient au meme, conceptuellement.
C'est effectivement tres costaud a casser (chiffrement 3des ou asymetrique en fonction des prestataires).
L'idee est toute simple: chiffrer avec un algo fort la date et/ou un compteur d'evenement et/ou le challenge cote client et l'envoyer au serveur.
Le serveur a lui la connaissance de la cle du client (certificat publique si asymetrique, prive si symetrique) et genere des mots de passes dans une certaine fenetre (temps/evenements + eventuel challenge) jusqu'a tomber sur le meme.
S'il trouve pas, va te faire voire.
Dans ma boite on faisait du symetrique (la gestion des certifs, c'ets un gros boulot, plus simple de gerer un cle symetrique), je me dit que dans le cas de l'asymetrique il doivent se contenter de dechiffrer l'otp et de verifier si les donnees envoyees sont bien celles attendues (temps+challenge+evenement).
Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
Par contre, ca ne protege pas du tout du man in the middle. Enfin pas en soi. Vu que l'homme du milieu connait le challenge, il peut aisement se faire passer pour le client.
Ya diverses pistes pour contrer ca, par exemple passer par une solution soft et de faire intervenir le certificat SSL du serveur.
On avait fait ca via une applet:
L'applet, une fois chargee, va recuperer le certif du serveur a qui elle parle (MITM donc), introduire la cle publique dans la generation de l'OTP et envoyer tout ca au serveur MITM.
Le MITM s'empresse de faire suivre a la banque, qui n'a pas la meme cle publique (ou alors ya un serieux probleme de secu que tous les OTP du monde ne peuvent resoudre).
La banque va essayer de regenerer le mot de passe de son cote et ne va pas y arriver car meme si temps+evenement+challenge correspondent, la cle publique n'est pas la meme.
Et paf l'homme du milieu.
Evidemment, si l'homme du milieu decompile/modifie l'applet, t'es baise.
Mais l'applet est of course signee par la banque.
Donc si le certif n'est pas le bon, la faute incombe (et surtout, decombe) au client, et c'est tout ce que veut la banque: proteger ses petits sous a elle, pas ceux du client.
je n'y connais plus rien à ce système
Ce qui m'etonne, c'est l'utilisation de "plus" qui laisserait entendre que tu y ai jamais connu qq chose.
Bref, treves de quolibet, mon cher Albert, si tu avoues toi meme ne rien y connaitre (ce qu'on avait de toutes facons compris nous meme depuis belle lurette vu comment tu etales ta paranoia, ta haine, ta jalousie et ta frustration en long en large et en travers ici meme), tu seras gentil de fermer ta grande gueule la prochaine fois qu'on abordera le sujet dans ces memes colonnes.
un logiciel "propriétaire" me "prive" de certains avantages apportés par le libre
Attends, attends, faudrait pas chercher a inverser les roles non plus.
Pour autant que je sache, et ce depuis les balbutiement de l'informatique, le logiciel est regit par un droit d'auteur, qui par defaut ne t'accorde pour ainsi dire rien.
En gros, la base legale et morale (si on en croit la societe, voire les societes, c'est assez uniforme a travers le monde) c'est que le logiciel proprietaire ne prive de rien du tout.
Le logiciel libre, de son plein gre, donne certains droits supplementaires, souvent mais pas toujours assortis de devoirs tres contraignants.
Apres ce fait peut ne pas te plaire, et t'as les outils a ta disposition pour changer tout ca, aussi bien au niveau mentalite qu'au niveau legislatif.
Pour la popularité, comme je disais plus haut, faudrait qu'on mette des chiffre sur ce que ça veut dire, parce que bon ... moi je te dis que ça marche. Tiens, un autre chiffre : linuxfr.org c'est entre 100 et 200 kb/s en moyenne en up. Tu vas peut-être me dire que ce n'est pas un bon exemple de site "populaire" ?
Et la charge CPU et I/O, elle dit quoi elle?
Ca tourne sur une freebox?
J'ai comme un doute la...
Et comme tu dit, en moyenne, ca veut dire que t'as de pics de charge (genre entre 19 et 21h00 j'imagine que ca doit bien monter en charge), faut bien pouvoir les absorber...
je veux juste pouvoir le faire, nan mais pour qui tu te prend de me dire ce dont j'ai besoin ou pas ?
Mais tu *peux* le faire, qui t'en empeche?
Le service pourri? Grande nouvelle, avec 4Mb, ton service sera tout aussi pourri, parce qu'un bon service c'est bande passante + cpu + fiabilite (ligne et materiel) et meme si t'as la bande passante a pas cher, t'auras jamais la fiabilite de la ligne et pour le cpu/fiabilite matos, si tu veux un truc qui tient, va falloir commencer a investir et ca va te couter un rein.
Et puis tes exemples sont complètement "exotiques", une coupure de ligne ou d'électricité
Une coupure d'electricite, exotique?
Tu vis sur quelle planete? Ca arrive pas tous les jours, mais ca arrive, sinon on aurait pas invente les onduleurs.
Sinon, une alim qui creve, ca existe aussi.
Et une ligne de telephone qui tombe en vrac aussi, les lignes adsl privees sont tout sauf fiables.
Ou un coup de foudre et paf la freebox.
Et si t'as pas de bol (aka loi de murphy) et que ca arrive quand t'es en vacances/deplacement/pas chez toi, tu prends direct 12h00 a une semaine d'indisponibilite. Au revoir email, calendriers, agenda et tout le tralala. Et comme par hasard, des services dont tu vas a priori avoir besoin quand t'es pas chez toi (ben ouais, sinon t'aurais pas mit ton calendrier en ligne).
Toi ca te derange peut etre pas, mais permet moi de me demander pourquoi tu met des services en ligne si c'est pour pas t'en servir.
Et comprends aussi que les fai aient pas envie de deployer une offre pour faire plaisir a qq geeks a droite a gauche.
Bienvenue dans le monde réel. Tu ne peux rien garantir, quand il s'agit de mails. Et rien n'empêche effectivement d'avoir cinq jours de délais (voire de n'avoir jamais de réponse, un correspondant qui n'a effectivement jamais reçu, et aucun message d'erreur en retour pour autant).
Dans mon monde reel a moi, quand j'envoie un mail, il est recu.
en 5-10 minutes le plus souvent, parfois 1/2-1 heure grand max.
De mon coté, j'ai des images de moins de 50ko pour la visualisation, une version un peu plus grande et la version originale (lazygal gère très bien ce genre de chose).
Et?
Au final, tu proposes la version originale, qu'est ce que ca change? Si tu propose la version originale, c'est que tu veux que les visiteurs la telecharge, et donc ca va dire potentiellement 10 personnes en train de telecharger des photos de 2/3Mo sur ta ligne perso...
C'est sur que je suis pas con au point de mettre un img src="hires.jpg" width="75" height="75" non plus...
Les gens qui ont un ecran 22-23" qui monte en 1440 ou plus, ils vont vouloir une version de bonne qualite.
Ou telecharger la photo pour l'avoir a la maison, que sais je encore...
Non, ceux qui veulent ça c'est ceux qui veulent le beurre, l'argent du beurre et le cul de la crémière. Ils gueulent comme des putois sur les forums, et au final on leur donne au détriment des autres qui payent pour des services qui ne veulent pas. Et de toutes façons, comme on disait plus haut, ce n'est pas la demande qui fait l'offre, mais l'inverse.
ben voyons. Deja, celui qui gueule comme un putois ici, c'est toi. Faut croire que ca marche pas.
Ensuite, Free, leader des fai depuis bien 10 ans et grand innovateur ne sait donc pas ce qu'il fait. Et les autres non plus. Toi tu sais. Toi tu as le savoir. Toi tu. Toi tu. Tu devrais leur expliquer la vie a ces FAI. Ah mais non, je suis bete, ils sont mechants et veulent t'enfermer dans les solutions d'hebergement de boites qui n'ont rien a voir avec eux.
C'est clair que personne ne veut la tele/voip avec son abonnement. Personne ne veut de la box qui enregistre sur le disque dur et ce genre de trucs.
La tele, c'est 2Mb grand mini, je pense que 4 sont conforts. Tu rajoutes par dessus un grand mini de 2Mb pour surfer.
Les FAI ne proposent pas de gros debit montants parce qu'a part qq geeks, tout le monde s'en tamponne du up. Ils veulent du gros debit descendant.
Mais puisque tu nous dis que les gens preferent 2MB up mini que d'avoir la tele HD par internet, c'est que ca doit etre vrai.
Enfin bon, c'est pas le but, moi je veux juste qu'on me _laisse_ le faire
Ben on te _laisse_ le faire non?
C'est juste que tu vas rendre un service de merde, forcement puisque heberge sur une ligne de merde sur du service de merde. Mais on te laisse le faire.
Et t'aurais les 2Mb en up, ou meme 4Mb en up, que ton service serait toujours aussi pourri, lent et non fiable. Personne n'utilisera ton service car forcement, il est pourri, donc ta machine va rester a tourner gentiment a rien faire.
Ha oui, aussi, j'en ai rien à foutre de la popularité.
Chacun son truc, mais generalement, quand on publie quelque chose sur internet, c'est pour etre lu.
Et si t'es pas lu, je vois vraiment pas pourquoi t'es en train de gueuler comme un putois..
je n'en ai rien à foutre que ce soit pas "fiable" ou autre
Ben c'est que tu n'as pas besoin de ton service web, c'est qq chose d'accessoire, un joujou quoi.
Ton serveur mail, s'il est down pendant 2 jours parce que la ligne a ete arrache par erreur par des ouvriers dans la rue, parce que 'tes en vacances et que t'as eu une panne de courant ou que sais je, c'est un GROS probleme. Comme dis plus haut, si ca doit prendre jusqu'a 5 jours pour recevoir un mail, envoie moi une lettre par la poste, ca ira plus vite, meme en periode de greve...
'fin si c'est pour faire du travail de gougnafier et ne pas pouvoir compter sur ses serveurs, c'est quoi l'interet de s'emboucanner a mettre en place lesdits serveurs?
Ce qui est interessant, c'est de pouvoir sortir ses donnees facilement des services d'hebergement en ligne (je pense surtout a youtube ou n'importe quel hebergeur de blog). Pour pouvoir changer de prestataire aisement sans se retrouver enferme.
L'hebergement a la maison pour tout le monde, excuse moi, je vais pas etre poli ni gentil, mais faut vraiment etre tres con et n'avoir absolument aucune jugeotte/bon sens technique pour l'exiger ou le defendre.
Quant à la machine allumée 24/24, tu l'as déjà, c'est ta box.
Ben voyons.
Ma box qui decode deja NRJ12 HD et route le traffic wifi de ma copine qui surfe sur 'ternet et genere du traffic sur le LAN va par dessus ca servir mon blog ultra pertinent en heure de pointe (avec les commentaires et tout le tralala).
Elle doit tourner sous MultiDeskOS pour etre aussi rapide.
Remarque, l'avantage c'est qu'on a plus besoin de plaques de cuisson.
Oui je suis sarcastique, mais tu cherches un peu la quand meme...
Le truc qui fait que le SDSL coûte cher aujourd'hui, c'est que l'offre est très faible et souvent assujettie à une garantie de dispo 99,9% et une hotline.
L'offre est tres faible parce que les gens veulent 4Mb down minimum. Je pense que les FAI sont bien place pour savoir ce que leurs clients veulent.
Ils veulent la tele et tout ce genre de conneries. Parce que c'est cool et que ca leur sert a qq chose (contrairement a heberger les videos).
Ca me parait etre un bien meilleur usage de la bande passante en tout cas.
Ta garantie de dispo de 99.9% est d'ailleurs necessaire si tu veux un auto hebergement fiable, sinon c'est que tu met en ligne un site dont tout le monde se fout. Et si tout le monde s'en fout, ben tout le monde s'en fout (comprendre par la: demerde toi).
Tu peux tourner le pb dans tous les sens que tu veux, l'auto hebergement sur un abo FAI perso sera toujours foireux des que ton site gagne en popularite.
Si t'as un site oriente contenu multimedia (youtube), ta bande passante va s'ecrouler avant meme que t'ai pu etre populaire (meme 10Mb up pour streamer de la video, ca va pas pisser bien loin).
Si t'as un site oriente contenu interessant, c'est le processeur de ton eeebox qui va fondre quand il devra servir 300 pages/minutes.
Si tu veux faire un serveur mail, il te faut 100% de disponibilite, et t'es pas pret de l'avoir avec un hebergement perso.
Le concept meme est foireux par design: tu ne peux pas avoir un service fiable pour un large public a bas prix chez un particulier. Que ce soit la bande passante, la charge CPU ou la disponibilite, t'en as toujours au moins un qui va manquer dans tous les cas. Et il suffit qu'il t'en manque un pour que cette solution soit inenvisageable si tu veux proposer un service serieux sur lequel tu peux t'appuyer.
J'en reviens donc a ma conclusion precedente: l'auto hebergement, c'est bon si t'heberges qq pages, faible charge cpu, faible charge bande passante et public tres limite.
C'est surement parfaitement valable pour une utilisation reservee a un utilisateur (genre un serveur de bookmark, ton calendrier/contacts en ligne accessible de partout, eventuellement streaming audio et ce genre de conneries), mais pour l'essentiel de ce qu'on appelle "site web", ca tient pas 2 secondes la comparaison.
Ben apres, faut savoir combien t'es pret a payer ton heberge...
Parce que pour 30euros, faut pas s'attendre a avoir un debit de ouf. Et la plupart des clients des FAI sont des particuliers qui sont infinement plus interesse par le traffic descendant que le montant.
De plus, mon petit doigt me dit que si le prix de l'abonnement s'aligne pour assumer un debit montant suffisant (soit facilement 2-3 fois le prix de l'abonnement actuel), tu vas te mettre a gueuler que c'est un scandale, free se fait des coucougnettes en or blablabla.
En gros, si mon hypothese precedente est validee, tu veux le beurre, l'argent du beurre, le cul de la cremiere et le sourire du patron.
Ce qui interesse les fai, c'est que la bande passante aille vers leur reseau, ca leur donne du poids dans les accords de peering, donc heberge chez eux physiquement ou chez toi physiquement, ca leur va pareil.
Par contre, ils ont du faire une etude commerciale, et se sont rendu compte que 99,9% de leurs clients n'allaient surement pas laisser leur babasse tourner 24/24 pour heberger leur site, et en ont donc conclut que proposer une offre a wat mille euros pour ca n'en valait pas la peine.
Apres, ca doit en amuser certains de croire a la theorie du complot, ca ne la rend pas vraie pour autant.
C'est sur que si t'as un site avec 4 visiteurs par jours, qui en plus ne viennent pas en meme temps, c'est une solution suffisante.
Maintenant, je voudrais bien voir la gueule de ta freebox quand ton blog prendra un peu de popularite et que t'auras, disons 20 visiteurs simultanes, en permanence?
Tu feras comment pour utiliser ta connexion 'ternet? Tu peux mettre du qos en place pour te reserver le minimum vital, mais la c'est tes utilisateurs qui vont en patir.
L'autre interet des sites heberges "professionellement", c'est d'avoir une grosse bande passante.
Je me vois pas heberger mes photos de vacances: a la louche 10Go de photos, le lien vers le site va etre envoye a tous ses potes/familles en meme temps, ca veut dire facilement 10 a 20 personnes en meme temps en train de mater le site. Avec des jpeg haute resolution de 2 a 3Mo, ca va etre sympa dis donc.
Et evidemment, tous vont arriver en meme temps: ils vont lire leur mails en rentrant le soir, quasi a la meme heure et vont se dire "tiens les photos de truc muche, cool" et cliquer sur le lien.
5 minutes apres, la freebox fond et tu peux faire cuire des oeufs au plat sur ta eeebox qui fait l'heberge.
D'experience, un ftp perso je limitais les connexion a 2 utilisateurs en meme temps. En pratique, ca peut meme faire un utilisateur a la fois, la plupart des clients ftp modernes ouvrant 2 connexions, une pour le traffic, l'autre pour browser le site.
J'ai vite laisse tombe mes potes se plaignaient que le ftp etait toujours plein et pas possible de se connecter...
Tu vois un site comme linuxfr tenir ne serait ce que 2 minutes sur un hebergement a la maison?
Apres, ouais, si t'heberges 4 pages statiques de 10ko sans images, mais on est plus en 96...
Si les hebergements dedies se multiplient, c'est pas pour enfermer le gentil utilisateurs dans un modele commercial, c'est simplement parce que l'auto hebergement est une grosse source d'emmerdement pour un service d'une qualite pitoyable.
Albert, la barre en haut sous macos c'est le menu de l'application, la ou gnome propose menu global et un lanceur d'appli.
Bon ya certes la zone de notification, que gnome propose au meme endroit..
Et en bas, c'est un dock pas une barre des taches.
Bref, gnome pompe pas vraiment macos. Ou alors de tres loin.
Sarkozy n'a jamais cessé d'opposer les français les uns aux autres
Comme si on avait besoin de sarkozy pour opposer les francais les uns aux autres...
Les francais passent leur temps a se plaindre (c'est bien francais ca), a chercher un bouc emissaire (typiquement humain), a jalouser et languedeputifier son prochain.
On pourrait meme dire que tu cherches a opposer les sarkozyste aux anti sarkozyste dans ton message.
[^] # Re: 3D Secure
Posté par thedude . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 1.
Je t'ai dit que l'implem a ete validee plus haut.
C'est valide c'est valide, je vois pas ce que ca va changer de filer toutes les sources au monde entier, personne n'ira les lire de toutes facons ('fin si, les attaquants) et meme s'ils lisent, personne ne fera d'audit pousse (ie plus pousse que ce que fait deja la boite d'elle meme) tout simplement parce que ca coute un fric fou et que les gens ont autre chose a foutre que de valider le boulot de son prochain (ou alors ils sont clients, mais tu sais quoi? ils ont les sources!!!! Et plus fort encore, ils (v)ont paye(r)!!! Oui oui, incroyable, hein?).
Que tu n'en ais pas connaissance ne veut pas forcément dire que c'est fiable.
Alors, les clients en question, c'est des banques.
Si ya attaque, ya des sous qui vont manquer.
Si des sous vont manquer la banque va chercher a savoir ce qu'il s'est passe.
Si le process d'authent' est en cause, devines quoi?
Le fournisseur de la solution d'authent va etre mit au courant, parce qu'il va se prendre un joli savon par son client.
On est donc en droit de penser que si le fournisseur ne s'est jamais fait engueuler comme du poisson pourri, c'est que le systeme n'a jamais ete penetre.
Et si le systeme n'a jamais ete penetre en 10 ans avec des sous a la cle, ben tires en les conclusions qu'il faut en tirer.
Pourtant d'après toi, seul des "méchants" (concurrent,...) pourraient etre intéressé par ça.
Les concurrents, on s'en fout, ils savent tres bien ce qu'on fait. Et font de toutes facons la meme chose.
Et se contrepetent des details d'implem tres techniques. Et evidemment faut pas compter sur eux pour auditer notre produit.
Par contre les mechants auquels je faisais reference, c'est les gens dont les clients veulent precisement se proteger. Et a eux, ca serait completement CON de leur donner des infos supplementaires (meme s'ils iront pas bien loin sans les cles des clients a attaquer).
J'ai juste attiré l'attention que malgré que la "base" soit saine, rajouté quelque chose ne signifie pas pour autant augmenter la solidité de la base.
Heureusement que t'es la dis donc, ils y avaient pas pense avant toi...
[^] # Re: 3D Secure
Posté par thedude . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 3.
L'implem' 3des est fiable. Period.
Je te le dit, j'ai bosse pour eux. T'as le droit de pas me croire, toujours est il que la personne qui a des infos ici, c'est moi.
C'est un pas os, c'est pas un rebreather, c'est une solution crypto, evite les comparaisons a 2 francs.
Quand a l'obscurite, elle se trouve, je le repete, sur les donnees en entree et sur la facon de transformer la sortie du 3des en otp. Pas sur le 3des en soi.
En même temps , le truc de debian avait eu l'aval des "experts" d'openSSL.
Oui oui, "if it helps for debugging", ca c'est de l'aval hein?
m'enfin...
[^] # Re: 3D Secure
Posté par thedude . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
L'implementation 3DES hard est de toute facons cachee: implementee en hard dans un puce.
Pour les produits softs, la reponse est facile a trouver (mais compte pas sur moi pour te le dire).
Et validee comme il faut, dans le contexte d'utilisation du token.
Et dans le cas de la boite dont on parle plus bas, ils ont des ressources en interne qui disent si les algos utilises sont bons ou mauvais.
Si tu as besoin de cacher ton implémentation, c'est donc que tu crains une faille dedans
Le systeme est fiable, les tokens hard sont toujours pas casse a ma connaissance.
Si l'implem est ouverte, les seuls personnes qui vont verifier serieusement l'implem sont les mechants.
Autant je concoit que la securite par obscurite pure soit une connerie sans nom, autant c'est pas une raison suffisante pour filer toutes les sources aux mechants. Et vu que le retour positif (audit serieux) est nulle, ya aucun interet.
Je dis ca sans animosite aucune, mais que je vois la qualite de relecture du code d'openSSL dans debian, tu me permettras de mettre en doute la qualite de relecture de la "communaute".
[^] # Re: Qui interdit ?
Posté par thedude . En réponse au journal [HS] Stallman à propos du logiciel "privateur" vs privatif. Évalué à 3.
Le seul qui a des droits dans l'histoire, c'est l'auteur.
L'utilisateur a des conditions d'utilisation, de modification et de redistribution.
Et elles varient beaucoup selon les licences.
[^] # Re: 3D Secure
Posté par thedude . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
La calculette avec carte est personnelle (enfin la carte, pas la calculette :) ).
Les calculette sans carte (l'essentiel de leur business) sont strictement personnelles (cle 3des hardcodee en usine).
[^] # Re: 3D Secure
Posté par thedude . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 2.
Et sinon, oui, ce que vendent ces boites c'est essentiellement des cles crypotgraphiques avec un gros boulot d'integration par dessus :)
Ca fait cher la cle 168 bits, effectivement :)
[^] # Re: 3D Secure
Posté par thedude . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 1.
Qu'ils soient generes a la volee ou de facon statique puis envoyer par la poste, fax ou a dos de corbeau, ca revient au meme, conceptuellement.
C'est effectivement tres costaud a casser (chiffrement 3des ou asymetrique en fonction des prestataires).
L'idee est toute simple: chiffrer avec un algo fort la date et/ou un compteur d'evenement et/ou le challenge cote client et l'envoyer au serveur.
Le serveur a lui la connaissance de la cle du client (certificat publique si asymetrique, prive si symetrique) et genere des mots de passes dans une certaine fenetre (temps/evenements + eventuel challenge) jusqu'a tomber sur le meme.
S'il trouve pas, va te faire voire.
Dans ma boite on faisait du symetrique (la gestion des certifs, c'ets un gros boulot, plus simple de gerer un cle symetrique), je me dit que dans le cas de l'asymetrique il doivent se contenter de dechiffrer l'otp et de verifier si les donnees envoyees sont bien celles attendues (temps+challenge+evenement).
Le tout est base sur des algos publiques costauds, auquels on ajoute un sel d'obscurite parce qu'on va pas leur faciliter la tache quand meme (pis surtout, techniquement ca peut aider aussi).
Par contre, ca ne protege pas du tout du man in the middle. Enfin pas en soi. Vu que l'homme du milieu connait le challenge, il peut aisement se faire passer pour le client.
Ya diverses pistes pour contrer ca, par exemple passer par une solution soft et de faire intervenir le certificat SSL du serveur.
On avait fait ca via une applet:
L'applet, une fois chargee, va recuperer le certif du serveur a qui elle parle (MITM donc), introduire la cle publique dans la generation de l'OTP et envoyer tout ca au serveur MITM.
Le MITM s'empresse de faire suivre a la banque, qui n'a pas la meme cle publique (ou alors ya un serieux probleme de secu que tous les OTP du monde ne peuvent resoudre).
La banque va essayer de regenerer le mot de passe de son cote et ne va pas y arriver car meme si temps+evenement+challenge correspondent, la cle publique n'est pas la meme.
Et paf l'homme du milieu.
Evidemment, si l'homme du milieu decompile/modifie l'applet, t'es baise.
Mais l'applet est of course signee par la banque.
Donc si le certif n'est pas le bon, la faute incombe (et surtout, decombe) au client, et c'est tout ce que veut la banque: proteger ses petits sous a elle, pas ceux du client.
[^] # Re: Le multicoeur va vraiment devenir problématique
Posté par thedude . En réponse au journal Le multicoeur va vraiment devenir problématique. Évalué à 3.
[^] # Re: Qui interdit ?
Posté par thedude . En réponse au journal [HS] Stallman à propos du logiciel "privateur" vs privatif. Évalué à 2.
(Attention, piege. Quand cherche la bravitudateur a jouer sur les mots, on le fait bien)
[^] # Re: FLOSS
Posté par thedude . En réponse au journal [HS] Stallman à propos du logiciel "privateur" vs privatif. Évalué à 1.
Donc je suis pas sur que ca soit le meilleur choix de neologisme au final... En tout cas pas pour les pays anglophones.
[^] # Re: +1
Posté par thedude . En réponse au journal Tout démarre par une information .... Évalué à -5.
je n'y connais plus rien à ce système
Ce qui m'etonne, c'est l'utilisation de "plus" qui laisserait entendre que tu y ai jamais connu qq chose.
Bref, treves de quolibet, mon cher Albert, si tu avoues toi meme ne rien y connaitre (ce qu'on avait de toutes facons compris nous meme depuis belle lurette vu comment tu etales ta paranoia, ta haine, ta jalousie et ta frustration en long en large et en travers ici meme), tu seras gentil de fermer ta grande gueule la prochaine fois qu'on abordera le sujet dans ces memes colonnes.
D'avance, merci.
[^] # Re: rigolo
Posté par thedude . En réponse au journal [HS] Stallman à propos du logiciel "privateur" vs privatif. Évalué à 2.
Attends, attends, faudrait pas chercher a inverser les roles non plus.
Pour autant que je sache, et ce depuis les balbutiement de l'informatique, le logiciel est regit par un droit d'auteur, qui par defaut ne t'accorde pour ainsi dire rien.
En gros, la base legale et morale (si on en croit la societe, voire les societes, c'est assez uniforme a travers le monde) c'est que le logiciel proprietaire ne prive de rien du tout.
Le logiciel libre, de son plein gre, donne certains droits supplementaires, souvent mais pas toujours assortis de devoirs tres contraignants.
Apres ce fait peut ne pas te plaire, et t'as les outils a ta disposition pour changer tout ca, aussi bien au niveau mentalite qu'au niveau legislatif.
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 1.
Et la charge CPU et I/O, elle dit quoi elle?
Ca tourne sur une freebox?
J'ai comme un doute la...
Et comme tu dit, en moyenne, ca veut dire que t'as de pics de charge (genre entre 19 et 21h00 j'imagine que ca doit bien monter en charge), faut bien pouvoir les absorber...
je veux juste pouvoir le faire, nan mais pour qui tu te prend de me dire ce dont j'ai besoin ou pas ?
Mais tu *peux* le faire, qui t'en empeche?
Le service pourri? Grande nouvelle, avec 4Mb, ton service sera tout aussi pourri, parce qu'un bon service c'est bande passante + cpu + fiabilite (ligne et materiel) et meme si t'as la bande passante a pas cher, t'auras jamais la fiabilite de la ligne et pour le cpu/fiabilite matos, si tu veux un truc qui tient, va falloir commencer a investir et ca va te couter un rein.
Et puis tes exemples sont complètement "exotiques", une coupure de ligne ou d'électricité
Une coupure d'electricite, exotique?
Tu vis sur quelle planete? Ca arrive pas tous les jours, mais ca arrive, sinon on aurait pas invente les onduleurs.
Sinon, une alim qui creve, ca existe aussi.
Et une ligne de telephone qui tombe en vrac aussi, les lignes adsl privees sont tout sauf fiables.
Ou un coup de foudre et paf la freebox.
Et si t'as pas de bol (aka loi de murphy) et que ca arrive quand t'es en vacances/deplacement/pas chez toi, tu prends direct 12h00 a une semaine d'indisponibilite. Au revoir email, calendriers, agenda et tout le tralala. Et comme par hasard, des services dont tu vas a priori avoir besoin quand t'es pas chez toi (ben ouais, sinon t'aurais pas mit ton calendrier en ligne).
Toi ca te derange peut etre pas, mais permet moi de me demander pourquoi tu met des services en ligne si c'est pour pas t'en servir.
Et comprends aussi que les fai aient pas envie de deployer une offre pour faire plaisir a qq geeks a droite a gauche.
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 0.
Dans mon monde reel a moi, quand j'envoie un mail, il est recu.
en 5-10 minutes le plus souvent, parfois 1/2-1 heure grand max.
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 0.
Et?
Au final, tu proposes la version originale, qu'est ce que ca change? Si tu propose la version originale, c'est que tu veux que les visiteurs la telecharge, et donc ca va dire potentiellement 10 personnes en train de telecharger des photos de 2/3Mo sur ta ligne perso...
C'est sur que je suis pas con au point de mettre un img src="hires.jpg" width="75" height="75" non plus...
Les gens qui ont un ecran 22-23" qui monte en 1440 ou plus, ils vont vouloir une version de bonne qualite.
Ou telecharger la photo pour l'avoir a la maison, que sais je encore...
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 1.
ben voyons. Deja, celui qui gueule comme un putois ici, c'est toi. Faut croire que ca marche pas.
Ensuite, Free, leader des fai depuis bien 10 ans et grand innovateur ne sait donc pas ce qu'il fait. Et les autres non plus. Toi tu sais. Toi tu as le savoir. Toi tu. Toi tu. Tu devrais leur expliquer la vie a ces FAI. Ah mais non, je suis bete, ils sont mechants et veulent t'enfermer dans les solutions d'hebergement de boites qui n'ont rien a voir avec eux.
C'est clair que personne ne veut la tele/voip avec son abonnement. Personne ne veut de la box qui enregistre sur le disque dur et ce genre de trucs.
La tele, c'est 2Mb grand mini, je pense que 4 sont conforts. Tu rajoutes par dessus un grand mini de 2Mb pour surfer.
Les FAI ne proposent pas de gros debit montants parce qu'a part qq geeks, tout le monde s'en tamponne du up. Ils veulent du gros debit descendant.
Mais puisque tu nous dis que les gens preferent 2MB up mini que d'avoir la tele HD par internet, c'est que ca doit etre vrai.
Enfin bon, c'est pas le but, moi je veux juste qu'on me _laisse_ le faire
Ben on te _laisse_ le faire non?
C'est juste que tu vas rendre un service de merde, forcement puisque heberge sur une ligne de merde sur du service de merde. Mais on te laisse le faire.
Et t'aurais les 2Mb en up, ou meme 4Mb en up, que ton service serait toujours aussi pourri, lent et non fiable. Personne n'utilisera ton service car forcement, il est pourri, donc ta machine va rester a tourner gentiment a rien faire.
Ha oui, aussi, j'en ai rien à foutre de la popularité.
Chacun son truc, mais generalement, quand on publie quelque chose sur internet, c'est pour etre lu.
Et si t'es pas lu, je vois vraiment pas pourquoi t'es en train de gueuler comme un putois..
je n'en ai rien à foutre que ce soit pas "fiable" ou autre
Ben c'est que tu n'as pas besoin de ton service web, c'est qq chose d'accessoire, un joujou quoi.
Ton serveur mail, s'il est down pendant 2 jours parce que la ligne a ete arrache par erreur par des ouvriers dans la rue, parce que 'tes en vacances et que t'as eu une panne de courant ou que sais je, c'est un GROS probleme. Comme dis plus haut, si ca doit prendre jusqu'a 5 jours pour recevoir un mail, envoie moi une lettre par la poste, ca ira plus vite, meme en periode de greve...
'fin si c'est pour faire du travail de gougnafier et ne pas pouvoir compter sur ses serveurs, c'est quoi l'interet de s'emboucanner a mettre en place lesdits serveurs?
Ce qui est interessant, c'est de pouvoir sortir ses donnees facilement des services d'hebergement en ligne (je pense surtout a youtube ou n'importe quel hebergeur de blog). Pour pouvoir changer de prestataire aisement sans se retrouver enferme.
L'hebergement a la maison pour tout le monde, excuse moi, je vais pas etre poli ni gentil, mais faut vraiment etre tres con et n'avoir absolument aucune jugeotte/bon sens technique pour l'exiger ou le defendre.
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à -2.
Quant à la machine allumée 24/24, tu l'as déjà, c'est ta box.
Ben voyons.
Ma box qui decode deja NRJ12 HD et route le traffic wifi de ma copine qui surfe sur 'ternet et genere du traffic sur le LAN va par dessus ca servir mon blog ultra pertinent en heure de pointe (avec les commentaires et tout le tralala).
Elle doit tourner sous MultiDeskOS pour etre aussi rapide.
Remarque, l'avantage c'est qu'on a plus besoin de plaques de cuisson.
Oui je suis sarcastique, mais tu cherches un peu la quand meme...
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 0.
L'offre est tres faible parce que les gens veulent 4Mb down minimum. Je pense que les FAI sont bien place pour savoir ce que leurs clients veulent.
Ils veulent la tele et tout ce genre de conneries. Parce que c'est cool et que ca leur sert a qq chose (contrairement a heberger les videos).
Ca me parait etre un bien meilleur usage de la bande passante en tout cas.
Ta garantie de dispo de 99.9% est d'ailleurs necessaire si tu veux un auto hebergement fiable, sinon c'est que tu met en ligne un site dont tout le monde se fout. Et si tout le monde s'en fout, ben tout le monde s'en fout (comprendre par la: demerde toi).
Tu peux tourner le pb dans tous les sens que tu veux, l'auto hebergement sur un abo FAI perso sera toujours foireux des que ton site gagne en popularite.
Si t'as un site oriente contenu multimedia (youtube), ta bande passante va s'ecrouler avant meme que t'ai pu etre populaire (meme 10Mb up pour streamer de la video, ca va pas pisser bien loin).
Si t'as un site oriente contenu interessant, c'est le processeur de ton eeebox qui va fondre quand il devra servir 300 pages/minutes.
Si tu veux faire un serveur mail, il te faut 100% de disponibilite, et t'es pas pret de l'avoir avec un hebergement perso.
Le concept meme est foireux par design: tu ne peux pas avoir un service fiable pour un large public a bas prix chez un particulier. Que ce soit la bande passante, la charge CPU ou la disponibilite, t'en as toujours au moins un qui va manquer dans tous les cas. Et il suffit qu'il t'en manque un pour que cette solution soit inenvisageable si tu veux proposer un service serieux sur lequel tu peux t'appuyer.
J'en reviens donc a ma conclusion precedente: l'auto hebergement, c'est bon si t'heberges qq pages, faible charge cpu, faible charge bande passante et public tres limite.
C'est surement parfaitement valable pour une utilisation reservee a un utilisateur (genre un serveur de bookmark, ton calendrier/contacts en ligne accessible de partout, eventuellement streaming audio et ce genre de conneries), mais pour l'essentiel de ce qu'on appelle "site web", ca tient pas 2 secondes la comparaison.
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 2.
Parce que pour 30euros, faut pas s'attendre a avoir un debit de ouf. Et la plupart des clients des FAI sont des particuliers qui sont infinement plus interesse par le traffic descendant que le montant.
De plus, mon petit doigt me dit que si le prix de l'abonnement s'aligne pour assumer un debit montant suffisant (soit facilement 2-3 fois le prix de l'abonnement actuel), tu vas te mettre a gueuler que c'est un scandale, free se fait des coucougnettes en or blablabla.
En gros, si mon hypothese precedente est validee, tu veux le beurre, l'argent du beurre, le cul de la cremiere et le sourire du patron.
Ce qui interesse les fai, c'est que la bande passante aille vers leur reseau, ca leur donne du poids dans les accords de peering, donc heberge chez eux physiquement ou chez toi physiquement, ca leur va pareil.
Par contre, ils ont du faire une etude commerciale, et se sont rendu compte que 99,9% de leurs clients n'allaient surement pas laisser leur babasse tourner 24/24 pour heberger leur site, et en ont donc conclut que proposer une offre a wat mille euros pour ca n'en valait pas la peine.
Apres, ca doit en amuser certains de croire a la theorie du complot, ca ne la rend pas vraie pour autant.
[^] # Re: Auto hébergement
Posté par thedude . En réponse au journal Tout le monde a intérêt à transformer Internet en Minitel. Évalué à 3.
Maintenant, je voudrais bien voir la gueule de ta freebox quand ton blog prendra un peu de popularite et que t'auras, disons 20 visiteurs simultanes, en permanence?
Tu feras comment pour utiliser ta connexion 'ternet? Tu peux mettre du qos en place pour te reserver le minimum vital, mais la c'est tes utilisateurs qui vont en patir.
L'autre interet des sites heberges "professionellement", c'est d'avoir une grosse bande passante.
Je me vois pas heberger mes photos de vacances: a la louche 10Go de photos, le lien vers le site va etre envoye a tous ses potes/familles en meme temps, ca veut dire facilement 10 a 20 personnes en meme temps en train de mater le site. Avec des jpeg haute resolution de 2 a 3Mo, ca va etre sympa dis donc.
Et evidemment, tous vont arriver en meme temps: ils vont lire leur mails en rentrant le soir, quasi a la meme heure et vont se dire "tiens les photos de truc muche, cool" et cliquer sur le lien.
5 minutes apres, la freebox fond et tu peux faire cuire des oeufs au plat sur ta eeebox qui fait l'heberge.
D'experience, un ftp perso je limitais les connexion a 2 utilisateurs en meme temps. En pratique, ca peut meme faire un utilisateur a la fois, la plupart des clients ftp modernes ouvrant 2 connexions, une pour le traffic, l'autre pour browser le site.
J'ai vite laisse tombe mes potes se plaignaient que le ftp etait toujours plein et pas possible de se connecter...
Tu vois un site comme linuxfr tenir ne serait ce que 2 minutes sur un hebergement a la maison?
Apres, ouais, si t'heberges 4 pages statiques de 10ko sans images, mais on est plus en 96...
Si les hebergements dedies se multiplient, c'est pas pour enfermer le gentil utilisateurs dans un modele commercial, c'est simplement parce que l'auto hebergement est une grosse source d'emmerdement pour un service d'une qualite pitoyable.
[^] # Re: Argh
Posté par thedude . En réponse au journal Vista, moins pire qu'on le dit. Évalué à 3.
L'o toujours po copris.
[^] # Re: Gnome et innovation : une mauvaise blague!
Posté par thedude . En réponse au journal KDE4 ressemble trop à windows seven. Évalué à 2.
Pourtant, le dock osx est place en bas par defaut...
[^] # Re: Gnome et innovation : une mauvaise blague!
Posté par thedude . En réponse au journal KDE4 ressemble trop à windows seven. Évalué à -1.
Bon ya certes la zone de notification, que gnome propose au meme endroit..
Et en bas, c'est un dock pas une barre des taches.
Bref, gnome pompe pas vraiment macos. Ou alors de tres loin.
[^] # Re: Ton troll est à revoir...
Posté par thedude . En réponse au journal KDE4 ressemble trop à windows seven. Évalué à -2.
[^] # Re: Stratégie de la division
Posté par thedude . En réponse au journal [HS] Pour info et désintoxication - recherche scientifique et université. Évalué à 5.
Comme si on avait besoin de sarkozy pour opposer les francais les uns aux autres...
Les francais passent leur temps a se plaindre (c'est bien francais ca), a chercher un bouc emissaire (typiquement humain), a jalouser et languedeputifier son prochain.
On pourrait meme dire que tu cherches a opposer les sarkozyste aux anti sarkozyste dans ton message.