Victor STINNER a écrit 1639 commentaires

Ah ouais ok, j'avais pas fait le lien. Bah il suffit de vérifier que le certificat n'est pas signé en utilisant MD5 ;-) Et puis bon, c'est pas courant 200 PS3 en réseau, il faut relativiser un peu.

SSL n'est pas sûr

De quoi tu parles ? Si tu fais référence à la précédente faille OpenSSL Debian, elle est corrigé depuis plusieurs mois.

Pourquoi payer un ordinateur super cher si la plus part du temps on s'en sert que pour faire du traitement de texte ?

Pourquoi payer la licence d'un logiciel propriétaire quand on peut utiliser un équivalent libre et gratuit qui répond à nos besoins (OpenOffice / Abiword / KOffice / ..., Gimp / Krita / ..., etc.) ?

Ah non en fait, ça parle de louer du matériel... mais perso j'ai l'impression que la finalité est de louer une licence d'un logiciel juste pour quelques semaines. Tu veux retoucher tes photos au retour de tes vacances d'été : hop, tu loues Photoshop 1 mois. À noël, tu remarques que tu as oublié de corriger les yeux rouges des photos à la montagne : ... il faut relouer le logiciel :-p

Pas mal d'infos sur les réactions de VeriSign :
http://www.heise-online.co.uk/security/Verisign-RapidSSL-clo(...)

Verisign are in the process of discontinuing the use of MD5 hashes for signing, saying it had been planning to stop use of MD5 in customer certificates by the end of January 2009

Il est certain que la conférence du CCC soit liée à ce changement !

Un mec qui s'appelle Julien Coupable, je m'en méfie !

Mais on peut décider de s'en passer, non?

J'ai répondu au post d'arno qui explique comment le désactiver.

Ayant deux comptes Jabber, j'aime bien la porte-feuille qui gère les deux mots de passe faible pour ne demander que la clé du porte-feuille (mot de passe fort). En désactivant ça, les mots de passe Gajim sont stockés en clair et peuvent être lus très facilement par un pirate :
http://www.haypocalc.com/wiki/Lamer

Le problème de stocker les mdp en clair est que la moindre faille dans votre logiciel de messagerie (instantannée ou pas), navigateur web ou autre permet de les lire.

Gnome-keyring et KWallet chiffrent les mots de passe et la clé de déchiffrement est salée et hachée (~1500 fois pour KWallet !).
http://www.haypocalc.com/wordpress/2008/05/where-are-my-pass(...)

Perso j'aimerai beaucoup pouvoir échanger des fichiers en IPv6 avec Gajim. L'idée serait d'utiliser Jabber en IPv4 ou IPv6, qu'importe, mais que l'échange de fichier utilise IPv6 si on est derrière du NAT (ce qui arrive très souvent) : car l'IPv6 est souvent moins/pas filtré. On pourrait se passer d'un serveur proxy qui limite la bande passante (rajoute un intermédiaire uniquement utile pour contourner le NAT). À vrai dire, je pense à une Freebox.

Y'a pas que la taille qui compte, y'a aussi le diamètre.

Non pas forcément. H peut très bien être un interpréteur de commandes genre bash

Tu aurais un exemple de commande bash pour utiliser ton GPU ? Parce que là je suis très curieux de savoir comment on fait. Justement, je voulais dire qu'un programme qui utilise intensivement le GPU est détectable de par son comportement.

ce dernier n'etait pas activement exploite, raison pour laquelle on a prefere tester le patch plus longtemps

Je trouve cet argumentation irrecevable. Il faut attendre que la faille soit ACTIVEMENT exploitée pour qu'elle soit patchée ? Il y a un vrai marché noir des exploits : un acheteur pourrait très bien demander l'exclusivité et l'utiliser pour des cibles précises. Bien sûr, la personne qui découvre la faille peut aussi choisir de ne pas la diffuser et l'exploiter pour sa pomme. Microsoft attend que suffisamment de sociétés soient impactées pour patcher ?

Et non, si tu regardes les patchs kernel de Redhat par exemple (...)

Pourquoi tu te focalises sur RedHat, tu as un dent contre eux ? Est-ce que RedHat entre en concurrence avec Microsoft, c'est pour ça qu'il faut absolument trouver les défauts de cet OS ?

[au sujet du patchage de noyau à chaud] Bref, dans la majorite des cas, impossible.

Renseigne toi un peu au lieu de diffuser de fausses informations :
http://www.ksplice.com/cve-evaluation

Un étudiant motivé a réussi à tenir 2 ans sans rebooter tout en patchant son noyau (84% des patchs appliqués à chaud sans modif, et les autres avec modif). Il semble qu'une boîte ait été fondée autour de ce service qui se vend maintenant (tout en restant GPL).

la raison du groupement des patchs c'est justement que les entreprises le demandent (...) A chaque patch elles doivent revalider leurs applications, il est plus simple pour elles de le faire une fois pour tous les patchs que tous les 5 jours.

Je ne comprend pas en quoi c'est plus simple. Disons pour l'exemple qu'Ubuntu propose une mise à jour par jour et que Windows en propose 30 par mois (ce qui donne aussi 1 par jour). Bah si tu prends 3 jours pour étudier (tester/valider) une màj Ubuntu, tu seras exposé durant 3 jours à une faille donnée. Si tu prends 2 jours pour étudier les 30 màj Windows, tu seras exposé à 30 failles durant 2 jours. Je pense donc que Windows est plus longtemps exposés aux failles. J'ai pris des nombres un peu au pif juste pour illustrer mon idée.

Le travers de la solution Microsoft est que si une faille apparait le lendemain de la publication de toutes les màj, il faudra attendre un mois pour qu'elle soit corrigée. La période d'exposition à la faille est plus longue.

Il semble que Microsoft n'aime pas la mesure de la durée durant laquelle l'OS est exposé à une faille donnée. Je pense que justement avec cette mesure ils s'en sortent moins bien que les autres, or ça me semble être la plus proche de la réalité.

http://www.heise-online.co.uk/security/MS-Malicious-Software(...)

Avec la mise à jour du 10 décembre (2008), le Malicous Software Removal Tool (MSRT) s'est mis à détecter de faux positifs et proposer de supprimer les logiciels comme « Vegas Movie Studio Platinum 8.0 » ou « Microsoft Flight Simulator » (haha). Question qualité, c'est pas terrible.

Bon, si vous voulez rire un bon coup, lisez le billet de Sid sur le dernier Patch Tuesday qui est particulièrement gratiné :
http://sid.rstack.org/blog/index.php/311-patch-tuesday-grati(...)

« vingt-huit failles ; vingt-sept en exécution de code à distance ; (...) vingt-cinq sont jugées critiques ; (...) ; une est gratifiée d'un exploit depuis août dernier... »

Je préfère recevoir régulièrement les patchs tous les jours via apt-get qu'attendre un mois pour pousser une vingtaine de correctifs d'un coup. Et puis bon, sous Linux il est très rare d'avoir à rebooter un serveur pour appliquer un correctif de sécurité (même pour le noyau, on peut s'en passer !).

http://www.heise-online.co.uk/security/Microsoft-explains-th(...)

Microsoft a publié un correctif nombre dernier (2008) pour corriger une faille SMB sur l'authentification par le réseau connue depuis 2001. La justification de Microsoft : corriger la faille plus tôt aurait empêcher des applications comme Outlook de fonctionner. J'espère avoir bien résumé, suivez les liens pour les détails.

Bon, ça aurait été vraiment grave si la faille avait été exploitée, mais là ce n'est pas le cas. Quoique...
http://www.tarasco.org/security/smbrelay/

Pourquoi changer du code qui marche ? Les procédures de validation des programmes dans les banques sont longues. Alors si ça marche en COBOL, pourquoi migrer à quoi que ce soit d'autre ? En plus, il existe COBOL.NET, il est moderne ce langage !

Le noyau Linux-2.6.27.7 pour une meilleure prise en charge du matériel et autres fonctionnalités sympathiques.

Comme un déni de service local ? :-) Utilisez la version 2.6.27.8 ou ne prêtez pas votre ordinateur (ni accès physique, ni SSH).
http://linuxfr.org/~ptiseb/27618.html

--

Wicd a l'air séduisant. J'aime bien Network Manager, mais les clones motivent la concurrence, c'est chouette :-)

« un programme H qui tourne sur le CPU (la partie Hote) ... D'autre part, D ne peut pas faire d'appels système directement »

Hum, dans ce cas la partie H est un virus classique et je pense qu'il sera facile à identifier. Bref, rien d'intéressant ici. Je trouve les malwares utilisant la virtualisation plus rigolos.

De toute manière, les pirates développent rarement des malwares très intelligents. La plupart du temps, ils réutilisent des vieux virus et rajoutent des failles connues et déjà patchées. Mais ça fonctionne car sous Windows il est difficile d'avoir un OS 100% à jour (lire le rapport Secunia récent à ce sujet). Je veux dire qu'ils s'amusent pas à développer des solutions très pointues car :
- il a peu de développeurs capables de le faire (main d'œuvre chère)
- c'est moins fiable que du code courant (répandu et mieux testé)

Bien sûr, en théorie le virus ultime est très effrayant car il serait totalement indétectable et pourrait mettre le Terre à feu et à sang (revoir Die Hard 4 avec Bruce Willis, Matrix, etc.). Bon, dépêchez vous de troller car le LHC va bientôt être (re)mis en marche, faites gaffe de pas mettre les pieds dans un trou noir.

Les « magic quotes » sont une fausse sécurité qui pose plus de problèmes qu'elle n'apporte de solutions je trouve.

Il est possible d'injecter du SQL sans apostrophe grâce à la syntaxe 0x... pour noter les chaînes des caractères : LOAD_FILE(0x2F6574632F706173737764) lit le contenu du fichier /etc/passwd et ne contient pas d'apostrophe. De plus, cette protection a introduit une autre faille avec le charset Big5 (utilisé pour le mandarin) : la séquence d'octets (0xB3, 0x27) est échappée en (0xB3, 0x5C, 0x27), or 0xB35C est un caractère valide en Big5, et on obtient donc une apostrophe seule !
http://www.abelcheung.org/advisory/20071210-wordpress-charse(...)
http://www.haypocalc.com/blog/index.php/2008/01/26/124-faill(...)

Côté pratique, c'est emmerdant pour l'utilisateur qui voit « l\'église » ou encore « l\\'église ».

Vivement PHP6 qui supprimer cette FIB (fausse bonne idée). D'ailleurs, la doc PHP affiche un gros avertissement : « WARNING: This feature has been DEPRECATED and REMOVED as of PHP 6.0.0. Relying on this feature is highly discouraged. ».

Python utilise UCS-2 ou UCS-4 en interne (selon des options de compilation). Cet encodage garantit un temps d'accès en O(1) à un caractère selon sa position, contrairement à UTF-* qui ont des temps d'accès en O(n). Pour les expressions régulières par exemple, je pense que ça accélère beaucoup :-) Pour UCS-2, si un essaye de créer un caractère hors de [0; 65535], une exception est lancée.

En attendant les paquets, j'ai pour habitude d'installer les vieilles et nouvelles versions (en développement) de Python dans /opt. Un bon vieux « ./configure --prefix=/opt/python26 » et voilà (Python se compile en 5 minutes à peu près). Pour lancer Python : /opt/python26/bin/python2.6 (ajouter /opt/python26/bin dans le PATH si besoin). Pour supprimer Python : rm -rf /opt/python26.

Bizzare, Java autorise ça depuis longtemps et pourtant je ne vois pas de projet libre écrit avec des identifiants en esperanto.

Modulo quelques adaptations, il est possible d'écrire du code qui fonctione sur Python 1.5 .. 3.0. Exemple trivial : « print("Hello World!") ».

>>>  =1
File "", line 1
 =1
^
SyntaxError: invalid character in identifier

Tous les caractères Unicode ne sont pas autorisés dans un identifiant.
http://docs.python.org/3.0/reference/lexical_analysis.html#i(...)

Petit rappel : Python 3.0 est basé sur Python 2.6. Donc entre 2.5 et 3.0, il y a toutes les nouveautés de Python 2.6 dont la liste est très longue ! Relire la dépêche Python 2.6 pour la peine :
http://linuxfr.org/2008/10/02/24556.html

En plus de ça, je trouve que la liste des nouveautés 3.0 donnerait presque envie de faire une croix sur Python2 ! Je pense par exemple à l'annotation des fonctions ou aux arguments sous forme de mot-clé uniquement (« def pouet(*, cle=42): ... »). Il y a aussi la syntaxe {1, 2, 3} pour les ensembles (set), les « compréhensions de dictionnaires », etc.

Pour l'instant, Python3 intègre toute la bibliothèque standard (moins les vieux modules supprimés). Les modules tiers vont migrer petit à petit. Pour certain (comme PyQt), ça risque de prendre beaucoup de temps car l'API C (certains modules Python sont écrits en C) a beaucoup changé.

Pour les modules écrit en pur Python, je trouve que la conversion est triviale ! L'outil 2to3 fait 90 à 100% du boulot. J'ai migré python-ptrace et Fusil (25.000 lignes de Python) en une après-midi.