On Thu, 22 May 2008 00:14:55 +0200, Roland Garcia wrote:
Le temps que l'editeur bricole sont antivirus, la faille est comblé... Vous rigolez ? les failles SSL et SSH touchent les versions 7.04, 7.10
et 8.04 de Ubuntu, un bail.... Celle sur la génération des clefs SSH ?
"OpenSSL 0.9.8c-1 up to versions before 0.9.8g-9 on Debian-based
operating systems uses a random number generator that generates predictable numbers, which makes it easier for remote attackers to conduct brute force guessing attacks against cryptographic keys."
Et en tant qu'utilisateur de Debian sur 1/10 de mes machines ça ne m'a pas fait rigoler.
-- Roland Garcia
On Thu, 22 May 2008 00:14:55 +0200, Roland Garcia
<roland-garcia@wanadoo.fr> wrote:
Le temps que l'editeur bricole sont antivirus, la faille est comblé...
Vous rigolez ? les failles SSL et SSH touchent les versions 7.04, 7.10
et 8.04 de Ubuntu, un bail....
Celle sur la génération des clefs SSH ?
"OpenSSL 0.9.8c-1 up to versions before 0.9.8g-9 on Debian-based
operating systems uses a random number generator that generates
predictable numbers, which makes it easier for remote attackers to
conduct brute force guessing attacks against cryptographic keys."
On Thu, 22 May 2008 00:14:55 +0200, Roland Garcia wrote:
Le temps que l'editeur bricole sont antivirus, la faille est comblé... Vous rigolez ? les failles SSL et SSH touchent les versions 7.04, 7.10
et 8.04 de Ubuntu, un bail.... Celle sur la génération des clefs SSH ?
"OpenSSL 0.9.8c-1 up to versions before 0.9.8g-9 on Debian-based
operating systems uses a random number generator that generates predictable numbers, which makes it easier for remote attackers to conduct brute force guessing attacks against cryptographic keys."
Et en tant qu'utilisateur de Debian sur 1/10 de mes machines ça ne m'a pas fait rigoler.
elle date peut etre de 2006 cette faille, mais elle n'a été decouverte qu'en mai 2008 et elle a ete depuis corrigé si je ne me trompe...
C'est ça le pire, *introduire* une faille en 2006 et ne s'en apercevoir qu'en 2008.
J'ai l'impression que les gens ne comprennent pas ce que tu écris, ou ne savent pas lire (ce qui est le plus courant)
Tu insistes bien pourtant sur le "introduire" qui est différent d'un bug ou faille découverts.
Mais à mon avis cette introduction de faille n'a pas été perdue pour tout le monde, notamment par ceux qui sont derrière le SSL et tout ce qui touche au chiffrement :-)
Les memes du reste qui veulent qu'on utilise PGP mais les versions qui ont suivi la mise en accusation de son inventeur qui n'a eu d'autre choix (chantage) que de faire des versions "approuvées"
Roland Garcia wrote:
On Thu, 22 May 2008 19:51:57 +0200, Roland Garcia
<roland-garcia@wanadoo.fr> wrote:
Quand a t elle ete decouverte cette faille ?
La faille a été *introduite*, nuance !
Et en tant qu'utilisateur de Debian sur 1/10 de mes machines ça ne m'a
pas fait rigoler.
elle date peut etre de 2006 cette faille, mais elle n'a été decouverte
qu'en mai 2008 et elle a ete depuis corrigé si je ne me trompe...
C'est ça le pire, *introduire* une faille en 2006 et ne s'en apercevoir
qu'en 2008.
J'ai l'impression que les gens ne comprennent pas ce que tu écris, ou ne
savent pas lire (ce qui est le plus courant)
Tu insistes bien pourtant sur le "introduire" qui est différent d'un bug
ou faille découverts.
Mais à mon avis cette introduction de faille n'a pas été perdue pour
tout le monde, notamment par ceux qui sont derrière le SSL et tout ce
qui touche au chiffrement :-)
Les memes du reste qui veulent qu'on utilise PGP mais les versions qui
ont suivi la mise en accusation de son inventeur qui n'a eu d'autre
choix (chantage) que de faire des versions "approuvées"
Et en tant qu'utilisateur de Debian sur 1/10 de mes machines ça ne m'a pas fait rigoler.
elle date peut etre de 2006 cette faille, mais elle n'a été decouverte qu'en mai 2008 et elle a ete depuis corrigé si je ne me trompe...
C'est ça le pire, *introduire* une faille en 2006 et ne s'en apercevoir qu'en 2008.
J'ai l'impression que les gens ne comprennent pas ce que tu écris, ou ne savent pas lire (ce qui est le plus courant)
Tu insistes bien pourtant sur le "introduire" qui est différent d'un bug ou faille découverts.
Mais à mon avis cette introduction de faille n'a pas été perdue pour tout le monde, notamment par ceux qui sont derrière le SSL et tout ce qui touche au chiffrement :-)
Les memes du reste qui veulent qu'on utilise PGP mais les versions qui ont suivi la mise en accusation de son inventeur qui n'a eu d'autre choix (chantage) que de faire des versions "approuvées"
jc
Jean Bon (de Parme) avait prétendu :
On Wed, 21 May 2008 02:17:55 +0200, Ludovic wrote:
Inutile d'acheter un antivirus payant...
oui linux n'en a pas besoin.
En effet, ses failles SSL lui suffisent largement.
Il faudrait arrêter de raconter n'importe quoi. SSL utilise un
pseudo-random generator, qui comme son nom l'indique n'est pas tout à fait aléatoire. La faille en question existe et fait partie de SSL. Maintenant, il faut savoir à quel public tu t'adresses. Soit tu as besoin d'un niveau de sécurité élevé (A...) et là, évidemment, pas question de SSL. pour ce niveau, il y a beaucoup de choses imposées: murs aveugles, cages de Faraday, liaisons filaires dans des tubes métalliques, etc.. Pour le commun des mortels, un C.. suffit! Pour faire, il faut recourir à des outils hardware, mais le prix devient tout autre!
Jean Bon (de Parme) avait prétendu :
On Wed, 21 May 2008 02:17:55 +0200, Ludovic <Ludovic@F5PBG.Brest>
wrote:
Inutile d'acheter un antivirus payant...
oui linux n'en a pas besoin.
En effet, ses failles SSL lui suffisent largement.
Il faudrait arrêter de raconter n'importe quoi. SSL utilise un
pseudo-random generator, qui comme son nom l'indique n'est pas tout à
fait aléatoire. La faille en question existe et fait partie de SSL.
Maintenant, il faut savoir à quel public tu t'adresses. Soit tu as
besoin d'un niveau de sécurité élevé (A...) et là, évidemment, pas
question de SSL. pour ce niveau, il y a beaucoup de choses imposées:
murs aveugles, cages de Faraday, liaisons filaires dans des tubes
métalliques, etc.. Pour le commun des mortels, un C.. suffit! Pour
faire, il faut recourir à des outils hardware, mais le prix devient tout
autre!
On Wed, 21 May 2008 02:17:55 +0200, Ludovic wrote:
Inutile d'acheter un antivirus payant...
oui linux n'en a pas besoin.
En effet, ses failles SSL lui suffisent largement.
Il faudrait arrêter de raconter n'importe quoi. SSL utilise un
pseudo-random generator, qui comme son nom l'indique n'est pas tout à fait aléatoire. La faille en question existe et fait partie de SSL. Maintenant, il faut savoir à quel public tu t'adresses. Soit tu as besoin d'un niveau de sécurité élevé (A...) et là, évidemment, pas question de SSL. pour ce niveau, il y a beaucoup de choses imposées: murs aveugles, cages de Faraday, liaisons filaires dans des tubes métalliques, etc.. Pour le commun des mortels, un C.. suffit! Pour faire, il faut recourir à des outils hardware, mais le prix devient tout autre!
Roland Garcia
Jean Bon (de Parme) avait prétendu :
On Wed, 21 May 2008 02:17:55 +0200, Ludovic wrote:
Inutile d'acheter un antivirus payant...
oui linux n'en a pas besoin.
En effet, ses failles SSL lui suffisent largement.
Il faudrait arrêter de raconter n'importe quoi. SSL utilise un
pseudo-random generator, qui comme son nom l'indique n'est pas tout à fait aléatoire. La faille en question existe et fait partie de SSL. Maintenant, il faut savoir à quel public tu t'adresses. Soit tu as besoin d'un niveau de sécurité élevé (A...) et là, évidemment, pas question de SSL. pour ce niveau, il y a beaucoup de choses imposées: murs aveugles, cages de Faraday, liaisons filaires dans des tubes métalliques, etc.. Pour le commun des mortels, un C.. suffit! Pour faire, il faut recourir à des outils hardware, mais le prix devient tout autre!
Mauvais exemple changer exemple.
Le Wi-Fi est l'opposé d'un système Tempest et c'est justement pour ça qu'il a besoin de crypto, une seule faille (WEP) fiche toute sa sécurité en l'air.
-- Roland Garcia
Jean Bon (de Parme) avait prétendu :
On Wed, 21 May 2008 02:17:55 +0200, Ludovic <Ludovic@F5PBG.Brest>
wrote:
Inutile d'acheter un antivirus payant...
oui linux n'en a pas besoin.
En effet, ses failles SSL lui suffisent largement.
Il faudrait arrêter de raconter n'importe quoi. SSL utilise un
pseudo-random generator, qui comme son nom l'indique n'est pas tout à
fait aléatoire. La faille en question existe et fait partie de SSL.
Maintenant, il faut savoir à quel public tu t'adresses. Soit tu as
besoin d'un niveau de sécurité élevé (A...) et là, évidemment, pas
question de SSL. pour ce niveau, il y a beaucoup de choses imposées:
murs aveugles, cages de Faraday, liaisons filaires dans des tubes
métalliques, etc.. Pour le commun des mortels, un C.. suffit! Pour
faire, il faut recourir à des outils hardware, mais le prix devient tout
autre!
Mauvais exemple changer exemple.
Le Wi-Fi est l'opposé d'un système Tempest et c'est justement pour ça
qu'il a besoin de crypto, une seule faille (WEP) fiche toute sa sécurité
en l'air.
On Wed, 21 May 2008 02:17:55 +0200, Ludovic wrote:
Inutile d'acheter un antivirus payant...
oui linux n'en a pas besoin.
En effet, ses failles SSL lui suffisent largement.
Il faudrait arrêter de raconter n'importe quoi. SSL utilise un
pseudo-random generator, qui comme son nom l'indique n'est pas tout à fait aléatoire. La faille en question existe et fait partie de SSL. Maintenant, il faut savoir à quel public tu t'adresses. Soit tu as besoin d'un niveau de sécurité élevé (A...) et là, évidemment, pas question de SSL. pour ce niveau, il y a beaucoup de choses imposées: murs aveugles, cages de Faraday, liaisons filaires dans des tubes métalliques, etc.. Pour le commun des mortels, un C.. suffit! Pour faire, il faut recourir à des outils hardware, mais le prix devient tout autre!
Mauvais exemple changer exemple.
Le Wi-Fi est l'opposé d'un système Tempest et c'est justement pour ça qu'il a besoin de crypto, une seule faille (WEP) fiche toute sa sécurité en l'air.
