Victor STINNER a écrit 1639 commentaires

Google annonce maintenant ses logiciels maintenant plusieurs mois en avance ? C'est encore plus fort que la version béta !

Bah moi je vous annonce que je vais écrire un logiciel qui va vous changer la vie. Si si, il est trop bien mais je sais pas encore ce que c'est.

Un travail est en cours depuis 6 mois pour supporter les flux fragmentés. Le système de fichier FAT a été le premier à avoir cette fonction, puis Ogg a suivi. Et très récemment, j'ai écrit le support pour les fichiers Microsoft Office qui sont très fragmentés. MPEG TS (Transport Stream) et MPEG PES utilisent aussi le découpage en petit paquet, mais ce n'est pas (encore?) supporté dans Hachoir.

J'ai pris contact avec les développeurs, mais pour l'instant on n'a rien fait ensemble. Ils m'ont proposé d'écrire un plugin pour Strigi. Je pense par contre qu'Hachoir est très lent et c'est donc pas une bonne idée de l'utiliser avec Strigi.

« d'apres http://www.haypocalc.com/wiki/Hachoir il doit etre possible de : Transformation d'un fichier binaire en document XML représentant sa structure c'est ce qui m'interresse ici. »

Hum, effectivement, Hachoir pouvait le faire, mais j'ai supprimé le code car ce n'était pas interactif et pas assez souple. Aujourd'hui, j'utilise uniquement hachoir-urwid qui permet d'avoir une visuallisation de ce genre :
http://hachoir.org/wiki/hachoir-parser/examples

« j'ai essayé de l'utiliser (pensant que c'etait possible hein ! ) pour extraire/detecter une image bmp perdu dans un fichier binaire »

... euh, c'est pas le bon outil, par contre, hachoir-subfile a exactement cet objectif :
http://hachoir.org/wiki/hachoir-subfile

Je n'ai pas encore publié de version stable car l'outil est encore pas mal expérimental, néanmois il est possible de le tester avec :
http://hachoir.org/wiki/Install/snapshot

Il faudra alors utiliser une commande du genre « hachoir-subfile Rom.fin --category=image ».

L'erreur « [err!] [<SpiderManVideoFile>] Hachoir can't extract metadata, but is able to parse: Rom.bin » indique que Hachoir pense que ce fichier est une vidéo du jeu SpiderMan et hachoir-metadata ne sait pas lire les métadonnées de ces vidéos. Bon, c'est un bug, ce fichier n'est sûrement pas une vidéo SpiderMan :-p

Quand j'ai lu « OOo n'utilise plus d'Universally Unique Identifiers (UUIDs) de version 1 (utilisant notamment l'adresse MAC) mais de version 4 (caractères aléatoires) » je pensais au format Microsoft Office (Word 95..2000) qui utilise des UUID avec l'adresse MAC de la carte réseau, mais je n'aurai pas imaginé qu'il s'agisse du format ouvert OpenDocument !

http://pap.openoffice.org/issues/show_bug.cgi?id=51501

Wikipédia essaye depuis longtemps de faire des « versions stables » des pages. Pour celà, il a d'abord fallu pouvoir identifier les versions. Il y a maintenant un lien « Adresse de cette version » qui contient un identifiant de la version : on a donc un moyen d'identifier une version donnée d'une page.

Ensuite, un commité de sélection a choisi les « articles de qualité ». Il y en a 336 à l'heure actuelle. 336 articles relus et corrigés, voir :
http://fr.wikipedia.org/wiki/Wikipédia:Articles_de_qualité
(c'est une version donnée qui est jugée valide)

Et maintenant, un projet de plus grand envergure :
http://fr.wikipedia.org/wiki/Projet:Wikipédia_1.0

« Wikipédia 1.0 est un projet pour réaliser une version stable du Wikipédia francophone. »

Voili voulou.

Un ami (feth), grand fan de digikam, m'a posé la question : pourquoi ne pas stocker l'image originale d'une part et les traitements d'autre part ? Comme ça, on peut toujours annuler une « correction » (amélioration) puis recalculer l'image résultante ! Excellente idée qui a été mise dans la tâche « versionning ». Je ne sais pas ce qu'il en est aujourd'hui.

Ah, il faut appuyer sur Arrêt Défil. là où le serveur Synergy est lancé... j'suis bête, j'appuyais sur le clavier du pc client :-/

Vous savez comment on appelle un mec qui abuse d'algorithmique ? Un algoligue. Arf arf Arf. (blague que nous a fait un prof)

J'utilise que Gajim, j'ai du 100% de contact Jabber et 0% d'autre contact. C'est un choix mais j'ai des contacts dans mon roster :-)

Nouveau système sonore (Phonon), gestion du matériel (Solid), du SVG en veux-tu en voilà, etc. Le programme est plutôt alléchant.

À FOSDEM j'ai vu un conférence sur Nepomuk : « bureau sémantique » [ http://nepomuk.semanticdesktop.org/xwiki/ ] déjà discuté dans des journaux :
http://linuxfr.org/~marseillais/23861.html
http://linuxfr.org/~golum/20914.html
http://linuxfr.org/~SOULfly_B/22421.html

Après Beagle et Kat, Nepomuk semble être une très bonne initiative. Avec D-BUS et Kparts, les applications vont commencer à travailler ensemble toutes seules ? :-)

En plus, KDE4 devrait fonctionner sur Windows... Hé ben, de l'eau a coulé sous les ponts depuis KDE1 qui n'était même pas libre :-D

« ce qui permettrait à terme d'avoir la possibilité d'utiliser une seule et unique VM pour un ensemble de langages, permettant par la même des optimisations plus profondes » : cette description me fait penser à Mono voir aussi à LLVM :-) Mono supporte les langages C#, Java, JavaScript, Python et VisualBasic.NET. Il a un compilateur JIT qui a l'air bien costaux. Je ne sais pas quels langages tournent dans LLVM. J'ai trouvé C, Objective C, C++ et Python, mais il doit en avoir d'autres.

J'avais testé Pirates (Python pour Parrot), mais c'était vraiment pas avancé du tout (genre on pouvait à peine faire 1+1).

Le site cité présente 5 personnes de profil différent mais tous attirés ou utilisateurs du libre (enfin, "de Linux"). En fait, ce site présente une réponse toute faite pour chaque question. Il traite des différents arguments avancés habituellement par le libre (ex: coût, sécurité, disponibilité, etc.).

Je pense que le public visé sont des gens qui veulent convaincre des utilisateurs du libre à revenir à la raison (le dieu Microsoft tout puissant).

Chacun se laisse séduire ou non par les arguments. Perso, ça me fait sourire. Les arguments sont toujours les même (ex: les logiciels libres ne sont pas plus sûr).

Mais le site web est joli, chouette musique, agréable à naviguer, etc. Pour s'en convaincre, ouvez une 2e fenêtre avec http://www.kernel.org/ :-) (mince, je voulais filer l'url de gnu.org mais c'est presque potable maintenant)

Pour ceux qui ne connaissent pas Sam Hocevar, il est l'auteur de libcaca, MonsterZ (jeu Python que ma copine adore), zzuf, et a aussi contribué à VideoLAN, Debian et bien d'autres trucs. Plus de détails sur son site web :
http://sam.zoy.org/
(la gallerie des goatse et des DTC vaut le détour)

Une recherche rapide pour Linux et IPv6 :
http://www.frsirt.com/english/advisories/2006/4297 - DoS local (/proc/net/ip6_flowlabel)
http://secunia.com/advisories/22731/ - IPv6 bypass filtering
etc.

Vous trouverez aussi des failles IPv6 pour Windows, FreeBSD, Postfix, Apache, etc. C'est pas parce que c'est OpenBSD qu'il faut crier au loup.

Ayant manipulé de l'IPv6, je comprend que les implémentations sont encore bancales vu combien la technologie est complexe (ex: 128 bits par adresse au lieu de 32 bits). IPv6 est un pari sur l'avenir (le long terme). Accessoirement, beaucoup d'OS et logiciels sont "prêts" mais peu/pas testés.

Un peu dans le même genre, les lettres majuscules ont perdu leur accent à cause de machine à écrire. Windows a le même défaut. Pourtant, une phrase peut débuter par « À » ou « É » en français.
http://www.haypocalc.com/blog/index.php/2006/06/18/6-typogra(...)

REnouveau sniffe le contenu du FIFO : espace d'échange entre le logiciel (pilote Nvidia) et la matériel. Le but du jeu est de trouver la correspondance : instructions NVidia <=> appels OpenGL.

L'abus de Synergy peut provoquer des réactions bizzares.

Maintenant ça m'arrive souvent de vouloir faire du drag & drop d'un PC à l'autre. Même si l'un est sous Windows et l'autre Linux.......

Bon sinon c'est vraiment excellent Synergy. Sauf quand on sort d'une partie de BZFlag alors qu'on voulait se dégager vite fait d'une balle mortelle.

Rendre un logiciel existant robuste se fait en plusieurs étapes.

#1 : Une compilation sans avertissement

Un avertissement est souvent un bug potentiel. Un comparaison nombre entier naturel et nombre entier relatif peut être une source de bug (integer overflow). => gcc -Wall -Wextra. Je trouve ça complètement débile que "-Wall" n'affiche pas ALL (tous) les avertissements... (avec gcc < 4 : -Wall -W). Pour les fanatiques : -Werror bloque la compilation à chaque avertissement.

#2 : Valgrind

Il faut que le programme ait zéro erreur dans Valgrind.

#3 : Analyse statique du code

Utiliser SPlint, Rats, Flawfinder, etc. pour trouver les portes d'entrées possible pour des failles.
http://www.haypocalc.com/wiki/Analyse_statique_de_code

### Fin de la partie basique ###

Maintenant il faut revoir le programme pour limiter les dégats. Ca peut être :

- Vérifier strictement toutes les entrées utilisateurs : clavier, réseau, variable d'environnement, fichier de configuration, fichier en entrée, événement X11, etc.

Voir les dégats que ça peut faire :
http://sam.zoy.org/zzuf/
http://www.haypocalc.com/wiki/Injection_de_code
http://www.haypocalc.com/wiki/Injection_de_SQL
http://www.haypocalc.com/wiki/Format_string_attack

- Vérifiez aussi le code de retour des fonctions, et particulier les fonctions systèmes (fopen, chdir, fork, etc.).

- Séparation des privilèges : séparer et limiter au maximum le code exécuté avec des privilèges elevés

- etc.

Pour moi Skype est un malware/virus.

Son code est fortement protégé. Voyez la présentation de Philippe Biondi et Fabrice Desclaux sur le reverse engineering du programme :
http://blackhatnetworks.com/presentations/bh-europe-06/bh-eu(...)
« This presentation will uncover some Skype secrets, hidden behind many levels of obfuscation, showing how bad security by obscurity can be. »

Skype traverse le NAT, transforme un ordinateur en serveur, fait du P2P à notre insu, etc. Et bien sûr, le protocole est totalement propriétaire. C'est bien connu que la sécurité par l'obscurité est la meilleure (humour).
http://fr.wikipedia.org/wiki/Sécurité_par_l'obscurité

Maintenant allez voir les failles trouvées (dumoins, celles publiées par Skype) :
http://www.skype.com/security/bulletins.html

des méthodes statistiques pour prédire le prochain port ouvert sur la passerelle

Hum hum, Linux n'utilise pas un algorithme très compliqué pour le choix du port source pour le NAT : c'est un simple compteur (N, N+1, N+2, N+3, ...).

La tendance actuelle est justement d'ajouter du hasard un peu partout pour rendre les attaques plus complexes (voir impossible). OpenBSD a beaucoup travaillé là-dessus. C'est par exemple le premier OS a avoir ajouté de l'aléa dans les choix des adresses mémoire (pile, "heap", adresse de base d'un programme, pile noyau, etc.). PaX fait la même chose pour Linux. D'ailleurs, Linux intègre petit à petit ce genre de "fonctionnalité".

Pour voir l'impact du choix des numéros de séquence TCP, une vraie étude statistique cette fois-ci :
http://lcamtuf.coredump.cx/newtcp/

Est-ce Cairo est maintenant aussi rapide qu'Arthur (moteur de rendu vectoriel de Qt4) ?
http://linuxfr.org/~JRM/22955.html

Sinon, pour voir ce qu'on peut faire avec Cairo, voyez le blog de Mirco Müller (qui a fait la conférence "Bling it up - make it sexy!" à FOSDEM) :
http://macslow.thepimp.net/

J'habite en Alsace. J'en avais marre d'avoir à régler mon antenne au millimètre près (surtout qu'à chaque orage ça grésillait), alors j'suis passé par le web. Mon script :

#!/bin/sh
OPT="-cache 100"
while true; do
# killall mplayer -9
mplayer $OPT 'rtsp://a963.l1145834093.c11458.e.lr.akamaistream.net/live/D/(...)
# killall mplayer
mplayer $OPT 'rtsp://a1123.l1145834094.c11458.e.lr.akamaistream.net/live/D(...)
# killall mplayer
done

mplayer plante souvent (ah bon ? :-D) alors je le lance dans une boucle en basculant d'un serveur à l'autre.

Extrait de l'article donné en 1er lien : « Tout ceci n’est malheureusement pas très légal, surtout au niveau de l’obtention des clés de cryptage permettant de dérouiller leur système de protection AACS ».

Alors je ne sais pas d'où sort la phrase de la dépêche « Le deuxième intérêt est de pouvoir lire maintenant les DVD légalement acquis grâce aux logiciels FFMpeg et surtout MPlayer ».

À ce que j'ai compris : il existe maintenant des outils pour casser le chiffrement HD-DVD et il est donc possible de lire des films au format HD-DVD sous Linux. Par contre, est-ce qu'il existe des lecteurs physiques compatibles Linux ? J'avais lu qu'ils auront des trucs de DRM dans le firmware.

C'est drôle comme dénomination. Et MP3 il est quoi alors ? MP3 mange des bébés ! MP3 viole les jeunes filles ! MP3 n'aime pas le chocolat (ah!) ! MP3 (...)

C'est quoi qui est sécurisé en fait ? Ah oui, ça doit protéger mon ordinateur. Plus besoin de parefeu, d'anti-spyware, de sauvegarde. Non non, plus vous téléchargez de WMA, plus votre ordinateur sera sain.

http://www.zdnet.fr/actualites/informatique/0,39040745,39287(...)
http://www.microsoft.com/technet/security/Bulletin/MS02-072.(...)
http://www.pcworld.com/article/id,119016-page,1/article.html
...