D'après ce que j'ai lu sur LWN le problème c'est que si on indique qu'une correction bouche un trou de sécu cela implique que les autres corrections ne concernent pas la sécurité.

Euh non, pas nécessairement. Marquer qu'un commit corrige une vulnérabilité n'indique rien quant aux autres commits. Ça demande aussi un peu de bon sens : la majorité des développeurs sont incapables de savoir si un bug quelconque peut avoir une implication sur la sécurité. Je préfère largement que les failles connues soient explicitement notées.

[ Répondre ]

Si j'étais un sponsor, j'exigerai qu'il travaille main dans la main avec les développeurs noyau et qu'une partie soient accepté upstream avant un certain délai sinon je ne donne plus de sous. Hop, chantage, mais dans l'autre sens :-)

[ Répondre ]

Si 80% des patchs de Grsecurity étaient intégrés upstream, je pense que la maintenance de Grsecurity serait déjà plus simple. On pourrait même penser qu'il y aurait plus d'utilisateurs. Si le code est dans le noyau, ça donne confiance, ex: quand à la pérénité.... Les 20% restant seraient maintenus en dehors et serviraient à renforcer encore la sécurité.

Le « problème » est qu'il faut être patient, faire de petits patchs, accepter les critiques, et suivre les règles :-) Ça me rappelle le dernier ordonnanceur de processus : y'avait deux projets en lice et celui qui a gagné n'était pas le meilleur, mais celui qui a accepté les critiques.

[ Répondre ]

Le patch grsecurity modifie 539 files fichiers et fait environ 37.000 lignes. C'est un très gros patch monolithique qui doit être redécoupé pour être inclu dans le noyau. Est-ce que ce travail a déjà été fait ?

PaX seul modifie 455 fichiers et pèse environ 23.000 lignes.

[ Répondre ]

> .. vendre à tarif variable .... pratique interdite à la SNCF

Hum, je paie rarement mes billets SNCF au même tarif. Genre 60€ l'aller et 40€ le retour. Ça dépend :
- du jour de l'année
- de l'heure du départ
- du nombre de places restantes

Et sûrement d'autres choses comme des papillons.

[ Répondre ]

Quelqu'un pourrait demander une nouvelle carte SIM pour ton numéro de téléphone avec le même numéro. Ce qui pourrait être drôle :-)

[ Répondre ]

Mouais, enfin on peut pas changer un type aussi facilement : il y a des histoires de compatibilité binaire entre les APIs. De plus, le "format time_t 32 bits signé" est aussi utilisé dans des formats de fichier comme les archives gzip ou le système de fichier ext3. Il faut donc modifier les formats et convertir les fichiers. Heureuseument, ext4 arrive avec ses 64 bits pour les estampilles de temps (enfin !). Windows commence aussi à utiliser 64 bits un peu partout pour le temps.

[ Répondre ]

Ah ouais ok, j'avais pas fait le lien. Bah il suffit de vérifier que le certificat n'est pas signé en utilisant MD5 ;-) Et puis bon, c'est pas courant 200 PS3 en réseau, il faut relativiser un peu.

[ Répondre ]

SSL n'est pas sûr

De quoi tu parles ? Si tu fais référence à la précédente faille OpenSSL Debian, elle est corrigé depuis plusieurs mois.

[ Répondre ]

Pourquoi payer un ordinateur super cher si la plus part du temps on s'en sert que pour faire du traitement de texte ?

Pourquoi payer la licence d'un logiciel propriétaire quand on peut utiliser un équivalent libre et gratuit qui répond à nos besoins (OpenOffice / Abiword / KOffice / ..., Gimp / Krita / ..., etc.) ?

Ah non en fait, ça parle de louer du matériel... mais perso j'ai l'impression que la finalité est de louer une licence d'un logiciel juste pour quelques semaines. Tu veux retoucher tes photos au retour de tes vacances d'été : hop, tu loues Photoshop 1 mois. À noël, tu remarques que tu as oublié de corriger les yeux rouges des photos à la montagne : ... il faut relouer le logiciel :-p

[ Répondre ]

Pas mal d'infos sur les réactions de VeriSign :
http://www.heise-online.co.uk/security/Verisign-RapidSSL-clo(...)

Verisign are in the process of discontinuing the use of MD5 hashes for signing, saying it had been planning to stop use of MD5 in customer certificates by the end of January 2009

Il est certain que la conférence du CCC soit liée à ce changement !

[ Répondre ]

Un mec qui s'appelle Julien Coupable, je m'en méfie !

[ Répondre ]

Mais on peut décider de s'en passer, non?

J'ai répondu au post d'arno qui explique comment le désactiver.

[ Répondre ]

Ayant deux comptes Jabber, j'aime bien la porte-feuille qui gère les deux mots de passe faible pour ne demander que la clé du porte-feuille (mot de passe fort). En désactivant ça, les mots de passe Gajim sont stockés en clair et peuvent être lus très facilement par un pirate :
http://www.haypocalc.com/wiki/Lamer

Le problème de stocker les mdp en clair est que la moindre faille dans votre logiciel de messagerie (instantannée ou pas), navigateur web ou autre permet de les lire.

Gnome-keyring et KWallet chiffrent les mots de passe et la clé de déchiffrement est salée et hachée (~1500 fois pour KWallet !).
http://www.haypocalc.com/wordpress/2008/05/where-are-my-pass(...)

[ Répondre ]

Perso j'aimerai beaucoup pouvoir échanger des fichiers en IPv6 avec Gajim. L'idée serait d'utiliser Jabber en IPv4 ou IPv6, qu'importe, mais que l'échange de fichier utilise IPv6 si on est derrière du NAT (ce qui arrive très souvent) : car l'IPv6 est souvent moins/pas filtré. On pourrait se passer d'un serveur proxy qui limite la bande passante (rajoute un intermédiaire uniquement utile pour contourner le NAT). À vrai dire, je pense à une Freebox.

[ Répondre ]

Y'a pas que la taille qui compte, y'a aussi le diamètre.

[ Répondre ]

Non pas forcément. H peut très bien être un interpréteur de commandes genre bash

Tu aurais un exemple de commande bash pour utiliser ton GPU ? Parce que là je suis très curieux de savoir comment on fait. Justement, je voulais dire qu'un programme qui utilise intensivement le GPU est détectable de par son comportement.

[ Répondre ]

ce dernier n'etait pas activement exploite, raison pour laquelle on a prefere tester le patch plus longtemps

Je trouve cet argumentation irrecevable. Il faut attendre que la faille soit ACTIVEMENT exploitée pour qu'elle soit patchée ? Il y a un vrai marché noir des exploits : un acheteur pourrait très bien demander l'exclusivité et l'utiliser pour des cibles précises. Bien sûr, la personne qui découvre la faille peut aussi choisir de ne pas la diffuser et l'exploiter pour sa pomme. Microsoft attend que suffisamment de sociétés soient impactées pour patcher ?

Et non, si tu regardes les patchs kernel de Redhat par exemple (...)

Pourquoi tu te focalises sur RedHat, tu as un dent contre eux ? Est-ce que RedHat entre en concurrence avec Microsoft, c'est pour ça qu'il faut absolument trouver les défauts de cet OS ?

[au sujet du patchage de noyau à chaud] Bref, dans la majorite des cas, impossible.

Renseigne toi un peu au lieu de diffuser de fausses informations :
http://www.ksplice.com/cve-evaluation

Un étudiant motivé a réussi à tenir 2 ans sans rebooter tout en patchant son noyau (84% des patchs appliqués à chaud sans modif, et les autres avec modif). Il semble qu'une boîte ait été fondée autour de ce service qui se vend maintenant (tout en restant GPL).

la raison du groupement des patchs c'est justement que les entreprises le demandent (...) A chaque patch elles doivent revalider leurs applications, il est plus simple pour elles de le faire une fois pour tous les patchs que tous les 5 jours.

Je ne comprend pas en quoi c'est plus simple. Disons pour l'exemple qu'Ubuntu propose une mise à jour par jour et que Windows en propose 30 par mois (ce qui donne aussi 1 par jour). Bah si tu prends 3 jours pour étudier (tester/valider) une màj Ubuntu, tu seras exposé durant 3 jours à une faille donnée. Si tu prends 2 jours pour étudier les 30 màj Windows, tu seras exposé à 30 failles durant 2 jours. Je pense donc que Windows est plus longtemps exposés aux failles. J'ai pris des nombres un peu au pif juste pour illustrer mon idée.

Le travers de la solution Microsoft est que si une faille apparait le lendemain de la publication de toutes les màj, il faudra attendre un mois pour qu'elle soit corrigée. La période d'exposition à la faille est plus longue.

Il semble que Microsoft n'aime pas la mesure de la durée durant laquelle l'OS est exposé à une faille donnée. Je pense que justement avec cette mesure ils s'en sortent moins bien que les autres, or ça me semble être la plus proche de la réalité.

[ Répondre ]

http://www.heise-online.co.uk/security/MS-Malicious-Software(...)

Avec la mise à jour du 10 décembre (2008), le Malicous Software Removal Tool (MSRT) s'est mis à détecter de faux positifs et proposer de supprimer les logiciels comme « Vegas Movie Studio Platinum 8.0 » ou « Microsoft Flight Simulator » (haha). Question qualité, c'est pas terrible.

[ Répondre ]

Bon, si vous voulez rire un bon coup, lisez le billet de Sid sur le dernier Patch Tuesday qui est particulièrement gratiné :
http://sid.rstack.org/blog/index.php/311-patch-tuesday-grati(...)

« vingt-huit failles ; vingt-sept en exécution de code à distance ; (...) vingt-cinq sont jugées critiques ; (...) ; une est gratifiée d'un exploit depuis août dernier... »

Je préfère recevoir régulièrement les patchs tous les jours via apt-get qu'attendre un mois pour pousser une vingtaine de correctifs d'un coup. Et puis bon, sous Linux il est très rare d'avoir à rebooter un serveur pour appliquer un correctif de sécurité (même pour le noyau, on peut s'en passer !).

[ Répondre ]