Re: Nouvelle vulnérabilité dans BIND

• [^]Re: Nouvelle vulnérabilité dans BIND

  Posté par gnap gnap (page perso, ) le 15/11/2002 à 12:12. (lien). Évalué à 0.

  A la mode, le terme « impacter »... dur de lire linuxfr sans le retrouver.
  
  Ca fait assez « pro » mais on ne peut pas dire que ça éclaire la discussion... Comme souvent lorsqu'on a recours à des anglicismes.

• [^]Re: Nouvelle vulnérabilité dans BIND

  Posté par Sebastien Tanguy (page perso, ) le 15/11/2002 à 17:14. (lien). Évalué à 4.

  
  > Il aurait été bon de dire que seul les versions 8.x de Bind sont impactées.
  
  
  Les versions 8 et 4 sont impactées.
  
  Quand on sait que la version 4 est encore livrée de base sur OpenBSD et sur pas mal d'Unix commerciaux, ça représente du monde ...
  
  
  > Aussi nul besoin de patch, il suffit de passer à Bind9 qui au passage est nettement mieux AMHA
  
  
  Ouais, enfin, suffit ... Bind9 n'est pas compatible à 100% et semble plus lourd qu'un Bind 4 ou 8. Et je parle pas des fonctionnalités (intéressantes pour certains) que beaucoup de monde n'utilisera jamais.
  Sans compter que cette version n'a pas encore été aussi utilisée que les précédentes ...
  
  
  seb.

  • [^]Re: Nouvelle vulnérabilité dans BIND

    Posté par zeDek () le 16/11/2002 à 09:33. (lien). Évalué à 1.

    >Les versions 8 et 4 sont impactées.
    
    Oui c'est vrai la 4 est aussi concerné (mea culpa).
    
    >Quand on sait que la version 4 est encore livrée de base sur OpenBSD et sur pas mal d'Unix commerciaux, ça représente du monde ...
    
    Oui c'est sûr mais vu le nombre de vulnérabilités qui ont été découvertes récemment sur Bind, je pense vraiment qu'il serait temps de passer à la version 9 surtout que je suis à peu près sûr que niveau maintenance c'est beaucoup plus tranquille.
    
    >Sans compter que cette version n'a pas encore été aussi utilisée que les précédentes ...
    
    Ben justement, pourquoi ne pas franchir le pas ? Enfin, "it's up to you" :)

    • [^]Re: Nouvelle vulnérabilité dans BIND

      Posté par PLuG () le 17/11/2002 à 13:18. (lien). Évalué à 1.

      Rappelons aussi que la version 9 de bind ne tournait pas correctement sur AIX il y a peu (crash de temps en temps => plus de DNS !!), qu'il ne tourne pas sur HP-UX ...
      
      bref bind 9 est mieux fonctionnellement (le forwarder est BIEN mieux), mais il n'est pas encore stable AMHA.

Re: Nouvelle vulnérabilité dans BIND

• [^]Re: Nouvelle vulnérabilité dans BIND

  Posté par benja () le 15/11/2002 à 18:38. (lien). Évalué à 2.

  Dans l'install par défaut de OpenBSD, named (ainsi que d'autres serveurs) sont lancés dans un chroot, ce qui limite fortement l'impacte de ce genre de failles.

« Internet » Software Consortium ?

• [^]Re: « Internet » Software Consortium ?

  Posté par Éric (Jabber id, page perso, ) le 15/11/2002 à 14:59. (lien). Évalué à 2.

  si on peut faire confiance à la disponibilité des sources pour avoir un correctif rapidement
  
  Bof, je sais que ca peut etre pire chez les concurents mais 1 mois ce n'est pas ce que j'appelle rapide. Le jour ou les temps de "mise sous secret" afin d'attendre les patch seront d'une semaine ou moins on en reparlera. Pour l'instant cette réactivité miracle n'est pas tant au rendez vous que ca. Moins dépendant d'une source unique oui, mais plus réactif ....
  
  peut-on pour autant faire confiance à tous les auteurs de logiciels pour coordonner efficacement le correctif en question ?
  
  Moi je vais répondre simplement en me basant (uniquement) sur la news : non.

  • [^]Re: « Internet » Software Consortium ?

    Posté par Jar Jar Binks (page perso, ) le 15/11/2002 à 16:44. (lien). Évalué à 0.

    En l'occurrence, le délai d'un mois est vraiment exceptionnel, et c'est une raison de plus d'éviter les produits de l'ISC à l'avenir.

• [^]Re: « Internet » Software Consortium ?

  Posté par Foxy (page perso, ) le 15/11/2002 à 17:26. (lien). Évalué à 4.

  De plus, certaines personnes (Alain Thivillon sur fr.comp.securite qui géneralement ne raconte pas n'importe quoi et a de bonnes sources...) vont même jusqu'à supposer que ISS a acheté cet exploit de Bind à des blackhats (ça se fait, parait-il !!!) pour pouvoir faire une annonce officielle et ainsi faire mousser son business (la détection d'intrusion et l'audit de vulnérabilités, pour ceux qui ne savent pas).
  
  Si ça se trouve, cette faille est connue depuis plus longtemps que ça et c'est une histoire de business qui a entrainé sa publication :-(

  • [^]Re: « Internet » Software Consortium ?

    Posté par Jar Jar Binks (page perso, ) le 15/11/2002 à 18:25. (lien). Évalué à 1.

    Si c'est le cas, c'est extrêmement grave et ça demande confirmation. Il y a des recours juridiques pour les utilisateurs dans ce cas ?

    • [^]Re: « Internet » Software Consortium ?

      Posté par Misc (page perso, ) le 15/11/2002 à 21:26. (lien). Évalué à 1.

      Recours juridique ?
      Je connait pas la licence de bind, mais doit y avoir un petit " utilisable a vos risques et perils", comme tout les LL...
      
      Y a pas de loi qui oblige a divulguer une faille, ni a la reporter a son auteur.
      Enfin, je suppose.
      Qu'en pensez vous ?

      • [^]Re: « Internet » Software Consortium ?

        Posté par Philippe SOHM (page perso, ) le 16/11/2002 à 19:41. (lien). Évalué à 2.

        Bind = Berkeley Internet Name Domain
        dc à priori c du BSD ;o)

      • [^]Re: « Internet » Software Consortium ?

        Posté par Moby-Dik () le 18/11/2002 à 13:18. (lien). Évalué à 1.

        Non mais si la faille t'a causé des dégâts et que tu es en mesure de prouver que X, qui était au courant, n'a rien fait pour signaler la chose, tu peux l'attaquer pour complicité et demander des dommages et intérêts. Enfin, à mon avis.

Bind vs DJBDns

• [^]Re: Bind vs DJBDns

  Posté par Jar Jar Binks (page perso, ) le 15/11/2002 à 10:43. (lien). Évalué à 3.

  Pour beaucoup, la question ne se pose pas, car les DJBmachins ne sont pas libres.

  • [^]Re: Bind vs DJBDns

    Posté par Foxy (page perso, ) le 15/11/2002 à 10:54. (lien). Évalué à 1.

    Effectivement, j'ai omis dans mon commentaire de parler des licences de softs de DJ Berstein car elles posent problème.
    
    DJB est un intégriste obtus ("pas touche à mon code") et a une politique de licence très spéciale ("pas touche à mes binaires et à mon install par défaut").
    
    Mais c'est juste le plan technique qui m'intéresse...

    • [^]Re: Bind vs DJBDns

      Posté par gnap gnap (page perso, ) le 15/11/2002 à 12:13. (lien). Évalué à 4.

      S'il s'agit de soigner un mal par un mal qui sur le long terme ne peut qu'etre pire, très franchement, je pense pas que du bien...

      • [^]Re: Bind vs DJBDns

        Posté par boubou (page perso, ) le 18/11/2002 à 16:40. (lien). Évalué à 1.

        J'adore ce genre d'affirmations gratuites. Bind et sendmail sont deux merdes très très mal conçues, exactement le contraire de djbdns et qmail. Pour l'instant, il y a deux choix. Serrer les fesses avec des logiciels libres pourris ou prendre des logiciels de Bernstein. Vu que les logiciels de Bernstein implantent scrupuleusement les standards et en établissent de nouveau (par exemple le maildir supporté par de plus en plus de serveur SMTP), je ne vois vraiment pas pourquoi (à part l'intégrisme) ne pas utiliser ces derniers. Bien sûr pour SMTP on peut toujours prendre postfix, mais je ne sais pas pourquoi, j'ai plutôt peur d'un logiciel dans lequel on a déjà trouvé des bugs de sécurité (mêmes minimes).

        • [^]Re: Bind vs DJBDns

          Posté par gnap gnap (page perso, ) le 20/11/2002 à 09:12. (lien). Évalué à 1.

          « J'adore ce genre d'affirmations gratuites. »
          
          Définit l'expression « affirmation gratuite », je ne te comprend aps.
          
          « Bind et sendmail sont deux merdes très très mal conçues, exactement le contraire de djbdns et qmail. Pour l'instant, il y a deux choix. Serrer les fesses avec des logiciels libres pourris ou prendre des logiciels de Bernstein. Vu que les logiciels de Bernstein implantent scrupuleusement les standards et en établissent de nouveau (par exemple le maildir supporté par de plus en plus de serveur SMTP), je ne vois vraiment pas pourquoi (à part l'intégrisme) ne pas utiliser ces derniers. »
          
          Parce qu'ils ne sont pas libre ?
          
          « Bien sûr pour SMTP on peut toujours prendre postfix, mais je ne sais pas pourquoi, j'ai plutôt peur d'un logiciel dans lequel on a déjà trouvé des bugs de sécurité (mêmes minimes). »
          
          Ca me semble pas très rationnel de croire qu'il puisse exister de logiciel sans failles. Bien sur, sur les logiciels qui ont 4 utilisateurs, on les trouve moins facilement.
          
          
          
          Bref, tu parles « d'affirmation gratuite » et d' « intégrisme » - de bien beaux termes en vérité - mais tu ne sembles pas avoir saisi ce qui nous génait avec les logiciels de DJB. A moins que tu résume la liberté en informatique au mot « intégrisme » ?

          • [^]Re: Bind vs DJBDns

            Posté par boubou (page perso, ) le 20/11/2002 à 15:35. (lien). Évalué à 1.

            Donc, tu ne réponds pas à la question de base. Si tu te contentes d'affirmer que pas libre implique un mal sur le long terme (ce qui reste à démontrer) et que tu appliques ça aux logiciels de Bernstein, je suis en droit de demander une explication. Si ta réponse se résume à "parce qu'ils ne sont pas libres", ton argumentation ne tient pas un instant.
            
            Quant au fait que les logiciels de Bernstein n'ont que 4 utilisateurs, c'est tellement pitoyable que je n'ajouterai rien de plus.

• [^]Re: Bind vs DJBDns

  Posté par Olivier Jeannet () le 16/11/2002 à 13:39. (lien). Évalué à 3.

  Si certains ici tournent avec DJBDns, ce serait bien qu'ils donnent leurs avis sur la question et leurs expériences.
  
  J'ai un ami qui a monté sa boîte d'hébergement de sites et de services, et il ne jure que par les outils de Daniel Bernstein, en particulier QMail et DJBDns. Je crois qu'il utilise aussi un syslog amélioré (du point de vue sécurité) produit par DJB.
  
  D'après ce que je sais, non seulement son code est très sérieusement audité, mais en plus est assez performant, que ce soit QMail par rapport à sendmail, ou djbdns par rapport à bind.
  
  La licence est en effet particulière, on ne peut pas redistribuer les sources modifiées, on peut seulement redistribuer les sources originales, accompagnées d'un (ou plusieurs) patch(s) à appliquer. En effet, DJB ne garantit que son propre code, qui a été audité. Si on veut faire inclure une modification, il faut lui soumettre le code, qu'il inclura éventuellement après inspection minutieuse.
  
  Ca dérange certains, mais si le but c'est d'avoir quelque chose qui marche bien, dont on contrôle le fonctionnement (on a les sources et on peut les modifier pour son usage), et dont la sécurité soit béton, c'est parfait.
  
  Le personnage a un profil élevé, c'est un mathématicien de talent (dont recherche en crypto), il a même attaqué le gouvernement américain pour défendre ses droits à plusieurs reprises (cf http://cr.yp.to/donations.html(...) par ex) :
  The Bernstein v. United States court case has won four First Amendment decisions against the government's previous regulations. The court decisions established that publication of source code is speech, and that the regulations were an unconstitutional censorship system. However, the government has appealed the decisions.

  • [^]Re: Bind vs DJBDns

    Posté par Jar Jar Binks (page perso, ) le 16/11/2002 à 23:57. (lien). Évalué à 0.

    Ca dérange certains, mais si le but c'est d'avoir quelque chose qui marche bien, dont on contrôle le fonctionnement (on a les sources et on peut les modifier pour son usage), et dont la sécurité soit béton, c'est parfait.
    
    Il n'empêche que ce n'est pas libre. Tu peux t'amuser à faire des exceptions dans ce genre de cas pour te donner bonne conscience, mais ce genre de licence pose les mêmes problèmes pratiques que de nombreux logiciels propriétaires. Tu choisi donc ces logiciels pour leur intérêt nechnique, mais tu prends de gros risques à d'autres niveaux.

    • [^]Re: Bind vs DJBDns

      Posté par Olivier Jeannet () le 17/11/2002 à 14:15. (lien). Évalué à 3.

      Tu peux t'amuser à faire des exceptions dans ce genre de cas pour te donner bonne conscience, mais ce genre de licence pose les mêmes problèmes pratiques que de nombreux logiciels propriétaires.
      
      Je n'ai aucune bonne conscience à avoir, qu'est-ce que c'est que ce charabia ?
      Assimiler djbdns à un logiciel propriétaire est une drôle d'idée, pour ne pas dire que c'est idiot.
      Je ne vois pas quel problème pratique ça pose, étant donné que tu peux faire ce que tu veux de DJBdns, appliquer les patches que tu veux, etc... Il existe des sites consacrés aux extensions qu'on peut apporter à djbdns, pour ceux à qui il manque des fonctionnalités. DJB veut juste garder le contrôle de ce qui est publié sous son nom, pour le reste tu peux publier JJBdns si tu veux à partir de son code source.
      (se reporter aux autres réponses plus bas pour plus d'informations, dont celles de Thomas Mangin)

      • [^]Re: Bind vs DJBDns

        Posté par Moby-Dik () le 18/11/2002 à 13:27. (lien). Évalué à 1.

        Assimiler djbdns à un logiciel propriétaire est une drôle d'idée, pour ne pas dire que c'est idiot.
        
        Non, c'est simplement vrai. C'est un logiciel qui ne répond pas aux exigences du logiciel libre.

      • [^]Re: Bind vs DJBDns

        Posté par gnap gnap (page perso, ) le 18/11/2002 à 14:01. (lien). Évalué à 1.

        « Je ne vois pas quel problème pratique ça pose, étant donné que tu peux faire ce que tu veux de DJBdns, appliquer les patches que tu veux, etc... »
        
        Et le redistribuer ?
        
        L'intéret du logiciel libre, c'est de partager n'est-ce pas ?

        • [^]Re: Bind vs DJBDns

          Posté par Olivier Jeannet () le 18/11/2002 à 17:42. (lien). Évalué à 2.

          « Je ne vois pas quel problème pratique ça pose, étant donné que tu peux faire ce que tu veux de DJBdns, appliquer les patches que tu veux, etc... » Et le redistribuer ? Oui, tu peux redistribuer les sources originales de DJBdns, avec tes patches à appliquer (on est plusieurs à l'avoir précisé mais bon...). Il y a au moins un site entier consacré uniquement aux patches pour ajouter des fonctions à DJBdns, pour ceux qui ne se satisferaient pas des fonctions existantes. J'appelle ça partager : DJB nous donne ses sources, avec un certains nombre de droits (redistribuer l'original, avec des patches ou non), si ce n'est pas du partage ça... Si tu veux vraiment distribuer le truc clef en main sans patch à appliquer, tu l'appelles alors autrement que DJBdns, par ex HhHdns (Houba houba Hop ;-).

    • [+] [^]Re: Bind vs DJBDns

      Posté par boubou (page perso, ) le 18/11/2002 à 16:44. (lien). Évalué à -1.

      Tu choisi donc ces logiciels pour leur intérêt nechnique, mais tu prends de gros risques à d'autres niveaux.
      
      Donnes moi simplement quelques exemples des risques en question...

      • [^]Re: Bind vs DJBDns

        Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 17:10. (lien). Évalué à 0.

        http://www.gnu.org/philosophy/free-sw.fr.html

        • [+] [^]Re: Bind vs DJBDns

          Posté par boubou (page perso, ) le 18/11/2002 à 18:39. (lien). Évalué à -1.

          Ca, c'est un argumentaire général qui ne s'applique pas vraiment au cas des logiciels de Bernstein. Le problème c'est que tu ne sembles pas disposer à dépasser le stade enfantin, "ce n'est pas libre, donc ce n'est pas bien". Dommage.

          • [^]Re: Bind vs DJBDns

            Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 18:59. (lien). Évalué à 1.

            Si tu veux utiliser des logiciels non libres, c'est ton droit, mais arrête de nous gonfler. DJBDns n'est pas libre. Il faut te l'écrire en quelle langue ? Il est interdit de redistribuer des versions modifiées, tu comprends ce que ça veut dire ? La source est sous le contrôle d'une seule personne, tu comprends ce que ça implique ? Il y a beaucoup de gens ici qui préfèrent utiliser un logiciel libre même s'il est moins trucmachinbidulechose (rayer la mention inutile) que son équivalent propriétaire. Pas par pur intégrisme, mais parce qu'ils pensent que c'est la meilleure solution à long terme pour eux.

            • [^]Re: Bind vs DJBDns

              Posté par bleh () le 18/11/2002 à 20:41. (lien). Évalué à 1.

              Si tu veux utiliser que des logiciels libres, c'est ton droit, mais arrête de nous gonfler. Tiens ça marche aussi ... liberté d'expression quand tu nous tiens !

              • [^]Re: Bind vs DJBDns

                Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 21:34. (lien). Évalué à 0.

                Ce n'est pas moi qui prétend que DJBDns est libre. Va faire joujou avec Sam dans son bac à sable.

                • [^]Re: Bind vs DJBDns

                  Posté par bleh () le 18/11/2002 à 23:30. (lien). Évalué à 1.

                  Ce n'est pas moi qui prétend que DJBDns est libre. Moi non plus. Dans ce thread, les gens parlaient technique et pas ethique. Toi tu signales que DJBDNS n'est pas libre. Soit. C'est un fait et a priori le message est passé. Pourtant tu continues à t'acharner, à prendre les gens pour des cons. Respecte ceux qui ont choisi d'accepter la licence de DJBDNS pour des raisons purement techniques, si c'est trop pour toi alors ne lis pas ce thread.

                  • [^]Re: Bind vs DJBDns

                    Posté par cornofulgur () le 19/11/2002 à 01:07. (lien). Évalué à 2.

                    les gens parlaient technique et pas éthique. On parle beaucoup d'éthique du réseau dans les pages que donne Thomas plus bas. Le réseau doit être robuste et les programmes de mails et de dns ne fonctionnent pas seuls. Quand quelqu'un envoie un mail d'une machine à une autre, on passera par différents relais, qu'il faut maitriser. Sur le réseau j'utilise DJBdns et exim et sendmail et bind et exchange et aussi IIS à la fois. Je ne peut faire autrement. Tout est connecté. Le principe de DJB consiste à dire que l'utilisateur ne doit pas etre libre de son choix mais responsable. Il prone un controle aux deux bouts. Le programmeur est alors totalement responsable de son code, il devra prouver qu'il est efficace. L'utilisateur est totalement responsable de son node, Il devra prouver qu'il est sociable. On coopère autour des protocoles. Toute variation est un bug, dit il. Tout intermédiaire est une nuisance qui dilue la responsabilité. Les idées et textes de Bernstein sont trés originaux et politiques. Ca se rapproche beaucoup du Libre, dans ce contexte spécifique du réseau. Il n'est pas étonnant de retrouver autour de lui des personnalités comme Zimmerman, Gilmore, O'Reilly, Stallman même si leurs opinions divergeront fortement ici ou là. Bernstein a fait une page où il descend les brevets logiciels. J'apprécie particulièrement cette analyse là: la plupart des ``inventions'' brevetées sont triviales vis à vis du prior art. Mais ce brevet ci est une rare exception. Le système de Diffie-Hellman a littéralement révolutionné la cryptographie. Ceci veut il dire que nous tenons là un brevet bénéfique ? Non! http://cr.yp.to/patents/us/4200770.html Bref sur le plan technique, je sais pas, mais sur le plan éthique, Bernstein a des choses à nous dire. J'attends de l'écouter sur Palladium-tcpa notamment. :-)

                  • [^]Re: Bind vs DJBDns

                    Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 11:28. (lien). Évalué à 0.

                    Respecte ceux qui ont choisi d'accepter la licence de DJBDNS pour des raisons purement techniques, si c'est trop pour toi alors ne lis pas ce thread. C'est visiblement toi qui n'a pas lu le thread.

                    • [^]Re: Bind vs DJBDns

                      Posté par bleh () le 19/11/2002 à 12:16. (lien). Évalué à 1.

                      C'est visiblement toi qui n'a pas lu le thread
                      
                      je cite :
                      
                      

                      Ca dérange certains, mais si le but c'est d'avoir quelque chose qui marche bien, dont on contrôle le fonctionnement (on a les sources et on peut les modifier pour son usage), et dont la sécurité soit béton, c'est parfait. cf Olivier Jeannet
                      
                      DJB est un intégriste obtus ("pas touche à mon code") et a une politique de licence très spéciale ("pas touche à mes binaires et à mon install par défaut").
                      
                      Mais c'est juste le plan technique qui m'intéresse... cf Foxy

                      
                      Dire "je m'en fiche que DJBDNS ne soit pas libre vu qu'il a de grandes qualités" c'est accepter la licence par un accord tacite. Evidemment après que tu ais fait un nombre incalculable de remarques sur le fait que la licence n'est pas libre, les gens en ont parlé mais ce n'était pas le début du thread. Tu sors toujours des phrases sentencieuses avec un brin de suffisance mais tu n'argumentes pas. Je suis ouvert à la discussion et contrairement à toi je n'insulte personne. Prouve moi que le thread de départ parlait d'éthique.

                      • [^]Re: Bind vs DJBDns

                        Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 13:07. (lien). Évalué à 1.

                        Inutile de continuer à discuter si c'est pour choisir uniquement les morceaux qui t'intéressent. J'ai bien compris qu'il était de mauvais goût de critiquer un logiciel aussi merveilleux sous prétexte qu'il n'est pas libre.
                        
                        Je vais aller de ce pas m'installer Netscape 7, Oracle, DJBDns et pine, et m'acheter une carte nvidia flambant neuve.

                        • [^]Re: Bind vs DJBDns

                          Posté par boubou (page perso, ) le 19/11/2002 à 13:20. (lien). Évalué à 1.

                          Ca te gêne qu'on te mette le nez dans ton propre caca, n'est-ce pas...

                          • [^]Re: Bind vs DJBDns

                            Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 13:40. (lien). Évalué à 0.

                            Ta maman t'a préparé ton goûter, c'est l'heure de rentrer à la maison.

                            • [^]Re: Bind vs DJBDns

                              Posté par boubou (page perso, ) le 19/11/2002 à 14:48. (lien). Évalué à 0.

                              Toujours aussi puissant dans l'argumentation, Jar jar.

                              • [^]Re: Bind vs DJBDns

                                Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 14:59. (lien). Évalué à 1.

                                Bah j'essaye de me mettre au niveau de mes interlocuteurs, mais ce n'est pas facile.

                              • [^]Re: Bind vs DJBDns

                                Posté par gnap gnap (page perso, ) le 20/11/2002 à 09:18. (lien). Évalué à 1.

                                Pour un maitre de conférence, je trouve tes argumentaires assez peu abouti (« mettre le nez dans le caca » ?) également...
                                
                                Si j'avais le temps, je pourrais aussi faire une compile de citations cocasse, comme
                                
                                « Ca, c'est un argumentaire général qui ne s'applique pas vraiment au cas des logiciels de Bernstein. Le problème c'est que tu ne sembles pas disposer à dépasser le stade enfantin, "ce n'est pas libre, donc ce n'est pas bien". Dommage. »
                                
                                ==>
                                
                                « Ca, c'est un argumentaire général qui ne s'applique pas vraiment au cas des logiciels de Bernstein. »
                                
                                Pas d'argument.
                                
                                « Le problème c'est que tu ne sembles pas disposer à dépasser le stade enfantin,»
                                
                                Dénigrement de l'interlocuteur.
                                
                                « "ce n'est pas libre, donc ce n'est pas bien". Dommage. »
                                
                                Pas d'argument.
                                
                                C'est maigre non ?
                                
                                <==
                                
                                Mais je n'ai pas le temps, dommage.

                                • [^]Re: Bind vs DJBDns

                                  Posté par boubou (page perso, ) le 20/11/2002 à 15:41. (lien). Évalué à 1.

                                  C'est marrant, tu ne cites pas mon commentaire sur les "affirmations gratuites" qui contient justement des arguments contre le fait qu'on prend un risque en utilisant les logiciels de Bernstein parce qu'ils ne sont pas libres. Je constate que Jar Jar et toi ne semblez pas disposés à répondre à ces arguments. Comme je ne suis si comme toi, ni comme Jar Jar, je ne m'amuse pas à réécrire ces arguments dans chacune de mes réponses.

                                • [^]Re: Bind vs DJBDns

                                  Posté par bleh () le 20/11/2002 à 18:18. (lien). Évalué à 2.

                                  Pour un maitre de conférence, je trouve tes argumentaires assez peu abouti (« mettre le nez dans le caca » ?) également...
                                  
                                  Ses commentaires sont généralement bien plus aboutis que bien des commentaires que j'ai pu lire sur ce thread (je pourrai aussi faire une compilation des arguments de JJB qui se résument souvent à "va faire joujou"). Il a dès le départ donné des arguments pour le choix de DJBDNS en lieu et place de BIND, je les rappelle (quitte à faire une compilation autant qu'elle soit complète) :
                                  
                                  - Les logiciels de Bernstein implantent scrupuleusement les standards
                                  
                                  - Le code source est disponible et est sérieusement audité (la réputation de Bernstein question code n'est plus à faire)
                                  
                                  - Il est toujours possible de modifier les sources pour un usage personnel et si le besoin se fait sentir, il est possible d'envoyer un patch à Bernstein.
                                  
                                  - Qmail n'a pratiquement jamais eu de vulnéraibilité, de même pour DJBDNS.
                                  
                                  Ce à quoi tu opposes : "ce n'est pas libre". Soit. Maintenant la problématique posée par boubou est toujours valable : "Pour l'instant, il y a deux choix. Serrer les fesses avec des logiciels libres pourris ou prendre des logiciels de Bernstein". C'est bien tout le sujet de ce thread technique je le rappelle. Maintenant suivant qu'on est informaticien pur ou utilisateur épris de liberté on ne choisira pas de la même façon :
                                  
                                  - Rester sur une ligne "dure" en continuant avec BIND par idéologie pour les fans du libre
                                  
                                  - Faire un compromis en utilisant un logiciel de qualité pour ceux pour qui la technique passe en premier.
                                  
                                  Est-ce si dur à admettre ? En lisant certains commentaires, j'ai l'impression d'être à un congrès de groupies de patrick bruel et de mon coté j'attends encore une réponse constructive à un de mes commentaires. La discussion a toujours été ouverte, simplement face à la pauvreté de certains arguments on reste sur sa faim et on se désole de commentaires comme les tiens (dans ce thread hein ! j'ai pour ma part souvent aprécié certaines de tes interventions). C'est triste.
                                  
                                  bleh
                                  
                                  Au passage je définis ce que "affirmation gratuite" veut dire : affirmation dénuée d'argumentation, arbitraire.

                                  • [^]Re: Bind vs DJBDns

                                    Posté par Jar Jar Binks (page perso, ) le 20/11/2002 à 20:13. (lien). Évalué à 0.

                                    Coin ! Coin !

                                  • [^]Re: Bind vs DJBDns

                                    Posté par Thomas Mangin (page perso, ) le 21/11/2002 à 00:22. (lien). Évalué à 1.

                                    Tu perds ton temps, la prochaine fois que tu vois un commentaire de Jars, maintenant que tu sais que ca fini par "Coin, Coin", ignore le.
                                    
                                    Je suis sur qu'il va ajouter une commentaire deplaisant apres ce message car il veut avoir le dernier mot.
                                    
                                    Merci pour avoir essaye de discuter la licence de DJBDNS, ainsi qu'a tous ceux qui ont argumente leur position dans ce forum
                                    
                                    EOT.

            • [^]Re: Bind vs DJBDns

              Posté par boubou (page perso, ) le 19/11/2002 à 09:31. (lien). Évalué à 1.

              Mais pauvre imbécile expliques moi où j'ai écrit que djbdns est libre, allez, je t'attends (comme dirais Johnny). Je suis totalement d'accord avec le fait que ce n'est pas libre. Et alors ? Expliques moi pourquoi tu prends un risque en utilisant un tel logiciel ? Je te parle de djbdns, pas de windows, pas de Oracle, etc. Expliques moi en quoi tu prends un risque en utilisant un logiciel qui respect les standards et dont tu peux auditer le source et dont la licence indique explicitement qu'elle n'est pas révocable ? Au lieu de hurler comme un con, tente une discussion.

Re: Nouvelle vulnérabilité dans BIND

• [+] [^]Re: Nouvelle vulnérabilité dans BIND

  Posté par Jar Jar Binks (page perso, ) le 16/11/2002 à 23:59. (lien). Évalué à -1.

  Il n'y a pas de probleme de licence avec DJBDNS, la licence est libre mais ne permet pas de modification, car l'auteur est visiblement paranoiaque et ne veux pas que les vendeurs bidouille le code et cree des faille de securite.
  
  Tu te rends compte de la connerie que tu viens d'écrire ?

  • [^]Re: Nouvelle vulnérabilité dans BIND

    Posté par Thomas Mangin (page perso, ) le 17/11/2002 à 01:10. (lien). Évalué à 0.

    Merci de me faire remarquer que je suis un con. Damn, ca fait 28 ans que ca m'echappe, si tu voulais etre diplomate c'est rate.
    
    J'aurais du prendre le temps d'ecrire le message precedant correctement, ca aurait evite pas mal de "s" manquant. Mon point etait de donner des URL de site a lire pour dissiper toute FUD et informer a propos de DJBDNS.
    
    Il est vrai que qmail a cette sale reputation de licence, pour ce que ca interresse le lien est http://cr.yp.to/qmail/dist.html(...) mais djbdns n'est pas sous la meme licence que qmail ... Damn ...
    
    Donc un lien de plus: http://cr.yp.to/distributors.html(...)
    Et une copie de la licence si un click est trop dur
    
    " You don't need to read this page if you simply want to use my software. You are free to download the software from my web server; you then own that copy of the software, and you are free to compile it and run it. "
    
    Plus loin: " Some of my software is in the public domain "
    
    Damn, ca resemble vraiment a un EULA de Microsoft ... C'est pour ca que daemontool, et pas mal d'autre applications de DJB sont disponible avec les CD de Mandrake.
    
    Maintenant j'aurai du ecrire :
    la licence est libre mais ne permet pas de modification si on a l'intention de redistribuer un binaire de l'application
    
    Personnellement comme j'ai mes propres RPM je m'en fou royalement. Et comme je suis posseseur ma copie des sources, je peux probablement changer la licence et fournir un travail derive (du moment qu'il n'a pas le meme nom).
    
    Note: Les avocats discutent toujours la validite de la licence GPL alors pour celle de Dan on peux encore surement troller a tout va.
    C'est vrai que les problemes de licence, c'est vachement bien pour troller.

    • [^]Re: Nouvelle vulnérabilité dans BIND

      Posté par Cédric Blancher (page perso, ) le 17/11/2002 à 09:30. (lien). Évalué à 3.

      la licence est libre mais ne permet pas de modification si on a l'intention de redistribuer un binaire de l'application
      
      Alors ce n'est pas libre.
      
      Une licence n'est pas "libre mais ne permet pas de...", elle est libre, ou non, et dans le cas présent, c'est non.
      
      D'apres l'AFUL, un logiciel libre, est défini par :
      
      Sont considérés comme libres les logiciels disponibles sous forme de code source, librement re-distribuables et modifiables, selon des termes proches des licences "GPL", "Berkeley" ou "artistique" et plus généralement des recommandations du groupe "Open Source"
      
      -1 si je pouvais, parce que ca feed bien le troll ;)

      --
      http://sid.rstack.org/
      PGP KeyID: 157E98EE FingerPrint: FA62226DA9E72FA8AECAA240008B480E157E98EE
      >> Hi! I'm your friendly neighbourhood signature virus.
      >> Copy me to your signature file and help m

      • [^]Re: Nouvelle vulnérabilité dans BIND

        Posté par Thomas Mangin (page perso, ) le 17/11/2002 à 10:15. (lien). Évalué à 0.

        Rapidement
        
        De plus je suis assez d'accord avec les raisons qui le pousse a agir de cette facon, mets une application sous CVS et tu vas voir un paquet de code merdique (et insecure) dans l'application. Si on regarge les application GPL ou BSD, il y a:
        - ou un gentil dictateur (Linux)
        - ou un groupe limite de personne avec access au (CVS)
        
        Cette licence garantie qu'une application estampille "DBJ" (source RPM, code installe par une SSI) te peux dormir sur tes deux oreilles pendant que H4x00r essaye de casser ta machine.
        
        Maintenant, en effet l'OSI ne certifira jamais la licence de DJB mais est-ce important ?

        • [+] [^]Re: Nouvelle vulnérabilité dans BIND

          Posté par Jar Jar Binks (page perso, ) le 17/11/2002 à 10:41. (lien). Évalué à -1.

          Tu ne comprends visiblement pas les enjeux et les intérêts du libre.
          Tu choisis les outils de DJB parce qu'ils sont techniquement bons, c'est ton choix, mais tu as les inconvénients des logiciels propriétaires, car C'EST un logiciel propriétaire.
          Vu le temps qu'on met à se débarrasser de Pine, j'espère qu'il n'en sera pas de même d'un composant aussi critique qu'un le serveur DNS.

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par Olivier Jeannet () le 17/11/2002 à 14:18. (lien). Évalué à 0.

            Tu choisis les outils de DJB parce qu'ils sont techniquement bons, c'est ton choix, mais tu as les inconvénients des logiciels propriétaires, car C'EST un logiciel propriétaire.
            
            Tu te rends compte de la connerie que tu viens d'écrire ? ( (c) JJB 17/11/2002 @ 00:59 ;-)

            • [^]Re: Nouvelle vulnérabilité dans BIND

              Posté par gnap gnap (page perso, ) le 18/11/2002 à 14:05. (lien). Évalué à 1.

              Ce n'est pas une connerie.
              
              Un logiciel « libre » qu'on ne peut pas redistribuer avec ses modifs n'est pas libre.
              
              A court terme : j'ai envie de pouvoir balancer tel logiciel un peu modifié à mon frangin.
              A long terme : j'ai envie de pouvoir télécharger des paquets fait par des devel. Debian et RedHat pour mettre à jour mes machines.
              
              Ta licence ne permet pas cela : conclusion, ce n'est pas libre.
              
              Ceci dit, ce n'est pas trop inquietant : vu la restriction que met aux distributeurs, pas de risque qu'ils le diffusent.

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par Thomas Mangin (page perso, ) le 18/11/2002 à 20:51. (lien). Évalué à 2.

                Correction la charte Debian est tres stricte et non adapte pour le cas des logiciel de DJB. Les deux objectifs: Controle total de la distribution (pour le communaute) et controle des modification des sources (pour la securite) sont parfois antinomique .. Dommage mais le monde n'est pas parfait.

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par Thomas Mangin (page perso, ) le 18/11/2002 à 20:55. (lien). Évalué à 1.

                Desole, mais il me semble que tu as le droit d'aider ton Frangin, tu dois seulement lui dire que tu installe sur sa machine une version modifie d'un logiciel base sur DJBdns. Au passage, si ton frangin a besoin d'aide pour installer DJBDNS, ne te gene pas pour lui passer mon email :-)

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par Thomas Mangin (page perso, ) le 17/11/2002 à 21:55. (lien). Évalué à 1.

            Desole de te decevoir mais je pense bien les comprendre.
            
            Ceci dit, ton analogie avec Pine est mauvaise. Pine est comme Netscape, leur licence n'est pas libre mais ils ont ete distribue durant longtemps par les majors (Redhat, Mandrake, Suse). Les DJBware ne sont dans aucune distribution depuis que Qmail a ete enleve de OpenBSD (Seul Mandrake offre une option d'installation facile de BINAIRE via ftp, avec l'accord de DJB, si si ...)
            
            Bitkeeper est proprietaire et gratuit d'utilisation dans certain cas. DJBDNS est libre d'utilisation et de modification avec une close restrictive de distribution. Il y a une difference.
            
            Mais mon bout n'etait pas de discuter la licence. Tu as ton avis, J'ai le mien. point.
            
            Je ne me sens pas l'ame d'un revolutionaire communiste (je n'ai rien contre les communistes), je suis un techie, mon principal soucis est la practicalite pas d'essayer de changer le monde a mon image, ca c'est le but des ideologistes.
            
            Mais pour en revenir a la question: "Est-ce mieux d'utiliser DJBDNS ou BIND ?"
            
            La reponse est:
            * Si vous vous foutez de la licence, et seulement voulez access au code "au cas ou", DJBDNS est techniquement superieur. (plein de gens utilise Netscape ou Pine sans problemes)
            * Si vous etes parmis le %age des gens qui choissent leurs applis en fonction de la licence c'est votre droit.
            
            Je ne force personne a utiliser du DJBware, si mes competiteurs utilisent sendmail et bind, ca me fait meme plaisir. Il est seulement dommage de voir a quel point une application crutiale comme DNS (voir la DDOS recente sur les root DNS servers) est laisse a une application comme BIND. (Pour des raisons economiques et non ideologiques)
            
            Ps: Merci a ceux qui corrige mes fautes dans leur reponse .. ;-)

            • [^]Re: Nouvelle vulnérabilité dans BIND

              Posté par gnap gnap (page perso, ) le 18/11/2002 à 14:15. (lien). Évalué à 1.

              « Les DJBware ne sont dans aucune distribution depuis que Qmail a ete enleve de OpenBSD (Seul Mandrake offre une option d'installation facile de BINAIRE via ftp, avec l'accord de DJB, si si ...) »
              
              Je ne savais pas que Mandrake incitait les gens à mettre en place des solutions non libre. Bon à savoir.
              
              « Bitkeeper est proprietaire et gratuit d'utilisation dans certain cas. DJBDNS est libre d'utilisation et de modification avec une close restrictive de distribution. Il y a une difference. »
              
              Il y'a une différence tu as raison. Ce n'est pas strictement la meme chose, tu as raison.
              Mais quoi qu'il en soit, ces deux logiciels ont aussi un point commun : ils ne sont pas libre.
              
              Tu insistes sur le « libre d'utilisation » : un shareware l'est aussi.
              Tu parles de liberté de « modification » : sans pouvoir redistribuer ses modifs, ça ne sert (pas de partage, pas d'avancée pour tous - en dans un contexte plus général, pas de distribution ; il faut tout faire soit meme)
              
              « Je ne me sens pas l'ame d'un revolutionaire communiste (je n'ai rien contre les communistes), je suis un techie, mon principal soucis est la practicalite pas d'essayer de changer le monde a mon image, ca c'est le but des ideologistes. »
              
              Que veut dire ce mot « idéologiste » ?
              Et que veut dire « practicalité » ?
              
              Tout ce que j'arrive à comprendre, c'est que tu veux donner de toi meme l'image de quelqu'un qui ne pense qu'à la technique.
              C'est ton droit.
              Mais n'estime pas honteux que lorsque le débat porte sur le choix qui est fait par les distributions libres d'autres estiment que la technique n'est pas seule en ligne de compte.
              
              
              « * Si vous vous foutez de la licence, et seulement voulez access au code "au cas ou", DJBDNS est techniquement superieur. (plein de gens utilise Netscape ou Pine sans problemes)
              * Si vous etes parmis le %age des gens qui choissent leurs applis en fonction de la licence c'est votre droit. »
              
              La licence est un moyen, pas une finalité.
              Les gens ne choisissent pas de logiciel en fonction d'une licence mais en fonction des droits qu'ils auront (et la licence leur donne cette information).
              
              Note que tu prends le parti de t'afficher comme du camps de ceux qui se foutent des licences. J'espère que tu es conscient que l'auteur du logiciel dont tu fais la promotion ne voit pas du tout les choses comme toi.
              
              « a quel point une application crutiale comme DNS (voir la DDOS recente sur les root DNS servers) est laisse a une application comme BIND. (Pour des raisons economiques et non ideologiques) »
              
              Tu peux justifier tes assertions ? Des raisons économiques, oui ?

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par boubou (page perso, ) le 18/11/2002 à 16:29. (lien). Évalué à 2.

                Juste une remarque : tu peux redistribuer tes modifs (de djbdns), il suffit de le faire sous forme d'un patch.

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par bleh () le 18/11/2002 à 17:40. (lien). Évalué à 3.

                Je ne savais pas que Mandrake incitait les gens à mettre en place des solutions non libre. Bon à savoir. Qmail n'est pas dans les cd de la Mandrake, des binaires sont juste mis à disposition sur leur ftp avec l'accord de Bernstein. De ce point de vue, Mandrake n'encourage pas plus l'utilisation de solutions non libres que Debian. Tu peux parfaitement récupérer Qmail pour la Woody sous forme de source (à cause de la licence de DJB). http://www.mandrakesecure.net/en/docs/qmail.php En utilisant des raccourcis historiques, tu agis de la même façon que ceux que tu critiques : tu affirmes sans apporter la moindre preuve. « a quel point une application crutiale comme DNS (voir la DDOS recente sur les root DNS servers) est laisse a une application comme BIND. (Pour des raisons economiques et non ideologiques) » Tu peux justifier tes assertions ? Des raisons économiques, oui ? On ne peut pas vraiment justifier en apportant des preuves définitives. D'abord parce qu'on pourrait opposer à cela que avant tout BIND est conseillé par ISC ou bien que il y'a finalement peu de dns sous Unix. Maintenant, en lisant quelques sites de référence, on voit :

                On the other end of the scale, BIND also runs well on a free Unix derivative like Linux, on an old PC with a 486 processor and 16MB RAM, and such a combination is a common, effective, and low-cost name server platform for a smaller site.

                Ref : http://www.dns.net/dnsrd/servers/unix.html Les raisons économiques ne sont visiblement pas exclues au contraire des raisons idéologiques. L'ISC lui même n'aborde pratiquement pas le sujet quand il présente BIND, la license est abordée sans plus (d'ailleurs, et là c'est une impression personnelle, on sent plus qu'ils mettent en avant la gratuité que le fait d'être redistribuable, modifiable etc). Donc non je ne peux pas apporter de preuves définitives mais un déjà un début de réponse. On ne peut pas en permanence tout ramener à l'idéologie. DJBDNS est a priori "mieux" que BIND et les qualités de programmeur de Bernstein reconnues, répéter "c'est pas libre" à longueur de journée n'enlève rien à ce fait là.

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par Thomas Mangin (page perso, ) le 18/11/2002 à 21:34. (lien). Évalué à 1.

                LinuxFr a un bug et j'ai encore perdu mon commentaire. desole ce me gonfle !! Donc: Nous ne sommes pas d'accord, nous ne serons jamais d'accord. Bonne soiree a toi. et STP "s/pas libre/pas GPL/g"

                • [^]Re: Nouvelle vulnérabilité dans BIND

                  Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 21:44. (lien). Évalué à 2.

                  La GPL n'est pas la seule licence de logiciel libre, loin de là. MAIS CELLE DE DJBDNS N'EN FAIT PAS PARTIE.

                  • [^]Re: Nouvelle vulnérabilité dans BIND

                    Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 08:21. (lien). Évalué à 1.

                    Desole... s/pas libre/pas OSI certifie/g

                    • [^]Re: Nouvelle vulnérabilité dans BIND

                      Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 11:30. (lien). Évalué à 1.

                      Peu importe que la certification vienne de l'OSI, de la FSF ou de Debian, leurs définitions sont équivalentes : la licence de DJBDns n'est pas libre, objectivement. Tu ne peux pas distribuer de versions modifiées, elle est où la liberté là-dedans ? C'est exactement pour cette raison que MINIX a été abandonné au profit de Linux.

                      • [^]Re: Nouvelle vulnérabilité dans BIND

                        Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 13:56. (lien). Évalué à 1.

                        Ton argument est un peu faible ... GPL == success, dans ce cas je ne comprend pas pourquoi postgres n'est pas leader des bases de donnees !!
                        
                        Minix est juste une implementation pour etre etudee de Tanenberg (desole si j'ecorche son nom) et rien de plus.
                        
                        Tanenberg n'a jamais eu l'intention de supporter Minix plus que ca, c'est pourquoi les developpeurs de patches se sont tournes vers Linux ou xxxBSD. Frustre de ne pas pouvoir l'ameliorer ou le faire marcher sur leur PC.
                        
                        J'attend ton message qui me dira que je suis un gros con et que je n'ai rien compris a la vie, et cetera, et cetera :-)

                        • [^]Re: Nouvelle vulnérabilité dans BIND

                          Posté par bleh () le 19/11/2002 à 14:01. (lien). Évalué à 1.

                          Minix est juste une implementation pour etre etudee de Tanenberg (desole si j'ecorche son nom) et rien de plus.
                          
                          Tanenbaum ;-) mais t'inquiète pas il m'a dit qu'il t'en voulait pas :+)

                        • [^]Re: Nouvelle vulnérabilité dans BIND

                          Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 15:00. (lien). Évalué à 1.

                          Tu as très bien compris le problème, à ce que je vois.
                          Si DJB décide que son logiciel ne doit pas servir à <insérez>, son évolution dans cette direction sera impossible, même avec un fork.
                          Mais à part ça, c'est un logiciel libre.

                          • [^]Re: Nouvelle vulnérabilité dans BIND

                            Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 17:10. (lien). Évalué à 1.

                            Je vois que tu n'as pas lu la licence de Minix (c'est vrai que c'est pas facile a trouver) mais de la a insinuer que c'est la meme que celle de DJB, Bravo, tu devrais etre en politique et pas en physique.

                            • [^]Re: Nouvelle vulnérabilité dans BIND

                              Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 17:30. (lien). Évalué à 1.

                              Je vois que l'on continue dans les attaques personnelles. C'est magnifique, DLFP commence vraiment à ressembler à SlashDot.

                              • [^]Re: Nouvelle vulnérabilité dans BIND

                                Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 23:34. (lien). Évalué à 2.

                                Je suis desole si tu as pris cela comme un attaque personnelle c'etait sur le ton de la plaisanterie (tu as tendance a etre direct toi aussi). Je n'oublierai pas le smiley la prochaine fois.
                                
                                
                                L'argument cependant est serieux. Tu fais des analogie et faire dire des chose au gens qu'ils n'ont pas dit.
                                
                                Tu as ce que trouvera toujours dans un forum des gens avec des avis different qui ne pourront jamais tomber d'accord. C'est la nature humaine. Maintenant, ce qui est important c'est la tolerance aux idees des autres meme si on est en total desaccord.
                                
                                Je pense que la licence est libre, quelque soit ton opinion, j'ai le droit de garder le mien. J'ai ecoute ton argumentation, j'ai compris ta position et pense toujours que tu as une position trop extreme. Maintenant, tu peux surement dire la meme chose de moi, et comme toi, je ne serai pas d'accord avec ton analyse.
                                
                                Seul les fait scientifique peuvent passer une demarche experimentale. C'est pour cela que je dis que la licence de DJB ne passe pas "l'experience OSI" mais que cela ne te permet pas de dire que cela ne passe pas "l'expression libre" car la definition de libre est trop flou, et que pour moi libre =/= OSI.
                                
                                Cependant, nous avons tous ete d'accord pour dire que la licence de DJB est plus restrictive que celle sous le sigle OSI.
                                
                                Maintenant, tu as deux choix:
                                - repeter encore une fois que j'ai tord, que blabla
                                - en rester la.
                                
                                Moi je vote pour 2, j'ai passe assez de temps dans ce forum.

                        • [^]Re: Nouvelle vulnérabilité dans BIND

                          Posté par Olivier Jeannet () le 19/11/2002 à 19:20. (lien). Évalué à 1.

                          Tanenberg (desole si j'ecorche son nom)
                          
                          Juste un peu, c'est Tanenbaum ! Andrew S. Tanenbaum pour être complet.
                          
                          Sa page : http://www.cs.vu.nl/~ast/(...)

                          • [^]Re: Nouvelle vulnérabilité dans BIND

                            Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 23:44. (lien). Évalué à 1.

                            Excuse moi encore une fois, j'ai lu "systemes d'exploitation" il y a de ca plus de 7 ans ! J'aurais du aller faire un tour dans ma biblio avant d'ecrire son nom ... J'espere que barbara, suzanne, marvin et bram me pardonneront.

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 08:46. (lien). Évalué à 1.

                Je ne suis pas sur que "raison economique" est ete la meilleure definition pour ce que je voulais dire. Quand je parle a mes clients, ceux sous unix utilisent BIND car: - C'est sur le CD - C'est le standard - Il y a des livres sur BIND dans le commerce - "C'est quoi le Truc DNS" - Presence de technicien forme au produit - Presence doutils (libre et non libre) pour configurer bind La forte distribution cree une une dynamique, ecomonique car les argument en faveur de l'application sont la disponibilite de produit et service autour de bind. C'est son importance comme projet initial, son large deploiment qui fait du logiciel qu'il est tres utilise. Cela prend du temps pour creer une dynamique autour d'un produit, je pense que cette meme dynamique s'appliquera a DJBDNS, cela a pris du temps mais Qmail est largement utilise (regardez les "full header" de vos emails pour vous en rendre compte)

        • [^]Re: Nouvelle vulnérabilité dans BIND

          Posté par Jar Jar Binks (page perso, ) le 17/11/2002 à 10:43. (lien). Évalué à 1.

          Et d'ailleurs, l'OSI ne certifiera jamais la licence d'Oracle, mais est-ce important ? Oracle est techniquement très bon, on ferait mieux d'utiliser tous Oracle au lieu de tous ces ersatz libres pas sécurisés.

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par Olivier Jeannet () le 17/11/2002 à 14:23. (lien). Évalué à 1.

            Et d'ailleurs, l'OSI ne certifiera jamais la licence d'Oracle, mais est-ce important ? Oracle est techniquement très bon, on ferait mieux d'utiliser tous Oracle au lieu de tous ces ersatz libres pas sécurisés.
            
            Tu n'es pas sérieux ou de mauvaise foi.
            Le jour où Oracle publiera les sources de sa base de données, et où on pourra publier des patches comme on veut pour l'améliorer ou corriger des bugs, tu nous préviens.
            De plus, la réputation de sécurité des programmes de Daniel Bernstein n'est plus à faire, il y a même un prix pour celui qui découvrirait un faille dans qmail (il y a même un 2e prix par un groupe d'utilisateur, en plus du prix offert par DJB lui-même, et ça fait un paquet d'années que ça tient).

            • [^]Re: Nouvelle vulnérabilité dans BIND

              Posté par gnap gnap (page perso, ) le 18/11/2002 à 14:17. (lien). Évalué à 1.

              « Tu n'es pas sérieux ou de mauvaise foi. »
              
              ?
              
              Ton interlocuteur ne dit pas que les logiciels DJB sont exactement dans la meme situation qu'Oracle, il te parle de leurs points communs.
              
              Il me semble qu'il a déjà donné ses explications. Réponds à ses arguments, ou pas. Mais pas à coté (la sécurité des programmes de DJB)

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par boubou (page perso, ) le 18/11/2002 à 16:34. (lien). Évalué à 1.

            Je ne vois pas en quoi ce que tu dis est fondamentalement stupide. Beaucoup de gens pensent (tests internes à l'appui) que DB2 ou Oracle sont meilleurs (plus stables, plus rapides, montant mieux en charge, etc.) que les solutions libres actuelles. Si ces personnes pensent que les avantages techniques contrebalancent les problèmes liés à l'aspect propriétaire, qu'est ce qui te permet d'affirmer qu'ils ont tord ?

        • [^]Re: Nouvelle vulnérabilité dans BIND

          Posté par Olivier Jeannet () le 17/11/2002 à 14:42. (lien). Évalué à 2.

          Cette licence garantit qu'une application estampillée "DJB" (source RPM, code installe par une SSI) tu peux dormir sur tes deux oreilles pendant que H4x00r essaye de casser ta machine.
          
          Je suis assez d'accord avec toi, si j'étais l'auteur d'un soft que je voulais très sécurisé, dont je publie les sources, je serais assez tenté d'adopter un modèle à la DJB, sachant que peu de gens savent vraiment bien coder.
          
          Je serais ouvert à toutes les suggestions, mais je rejetterais les idées/modifications que je jugerais mauvaises ou superflues (je parle de l'inclusion dans ma version officielle).
          C'est comme pour le noyau Linux, Linus rejette tous les patches qu'il juge de qualité ou intérêt insuffisant, mais n'empêche pas les autres de les appliquer dans une arborescence à eux. La différence avec DJB c'est que le noyau modifié a toujours le droit de s'appeler Linux, encore que je trouve la nuance mince entre :
          - redistribuer un djbdns déjà patché (cas où djbdns serait BSD ou GPL), et
          - redistribuer les sources originales de djbdns avec un patch perso à appliquer (cas actuel).
          En pratique ça revient au même. (et pour le noyau, les gens auront tendance à préférer le noyau de Linus, ou alors d'un lieutenant de confiance comme Alan Cox)
          
          Je trouve ça dingue de dénigrer les logiciels de DJB, alors qu'il fait du code de grande qualité, dont on a les sources, qu'on peut analyser et modifier à sa guise (oui, avec une petite restriction sur la façon dont on redistribue). C'est un superbe don à la communauté et au monde informatique en général.

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 12:51. (lien). Évalué à 1.

            Je ne dénigre pas les logiciels de DJB, j'ai même dit plus haut qu'ils sont techniquement très bons.
            Simplement arrête de raconter qu'ils sont libres, car c'est tout simplement faux.

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par gnap gnap (page perso, ) le 18/11/2002 à 14:20. (lien). Évalué à 1.

            « Je trouve ça dingue de dénigrer les logiciels de DJB, alors qu'il fait du code de grande qualité, dont on a les sources, qu'on peut analyser et modifier à sa guise (oui, avec une petite restriction sur la façon dont on redistribue). C'est un superbe don à la communauté et au monde informatique en général. »
            
            La redistribution est une liberté tout autant importante que les 3 autres. A vrai dire, sans celle-ci les autres sont vaines.
            
            Ce logiciel n'est pas libre.
            
            Argumente sur ce sujet ou ouvre un nouvel fil au lieu de détourner la discussion sur de la publicité gratos (« du code de grande qualité ») pour mieux revenir en oubliant les arguments des autres pour nous parler de « superbe don à la communauté » (quelle communauté ?).

            • [^]Re: Nouvelle vulnérabilité dans BIND

              Posté par boubou (page perso, ) le 18/11/2002 à 16:35. (lien). Évalué à 1.

              publicité gratos
              
              Voilà une accusation bien pathétique. Tout le monde est d'accord pour dire que djb code de façon superbe alors arrête ton cinéma.

        • [^]Re: Nouvelle vulnérabilité dans BIND

          Posté par Moby-Dik () le 18/11/2002 à 13:33. (lien). Évalué à 1.

          De plus je suis assez d'accord avec les raisons qui le pousse a agir de cette facon, mets une application sous CVS et tu vas voir un paquet de code merdique (et insecure) dans l'application.
          
          Un peu léger comme troll :-)) Rien ne t'oblige à donner un accès en écriture à tous au CVS. La branche principale appartient aux gens qui ont le droit (techniquement) de la modifier. Les autres n'ont qu'à faire un fork, ou distribuer des versions modifiées.
          
          te peux dormir sur tes deux oreilles pendant que H4x00r essaye de casser ta machine.
          
          C'est beau de rêver. Laisse-moi deviner, tu es spécialiste en sécurité ?

          • [^]Re: Nouvelle vulnérabilité dans BIND

            Posté par Thomas Mangin (page perso, ) le 18/11/2002 à 21:16. (lien). Évalué à 1.

            "C'est beau de rêver. Laisse-moi deviner, tu es spécialiste en sécurité ?" Non, Directeur Technique pour un FAI. Mais bon tout le monde s'en fou. Je peux te passer l'email de nos specialistes si tu veux, mais tu peux etre un mauvais professionel ou un bon amateur. Le titre ne fait pas la valeur, Master-dik ;-) Ceci dit, je ne m'inquiete pas trop pour la securite des application DJB, beaucoup plus pour d'autre et j'attends toujours la premiere vulnerabilite pour Qmail et DJBDNS. Et en attendant, puisque j'ai personnellement jette un oeil au source (tu devrais en faire autant), je suis assez confiant que Qmail est plus sur que sendmail ne le sera jamais.

            • [^]Re: Nouvelle vulnérabilité dans BIND

              Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 21:42. (lien). Évalué à 2.

              Comparons ce qui est comparable : quid de qmail et postfix ou exim ? Sachant que ces deux derniers sont libres et que qmail ne l'est pas. Qui plus est, compter sur la sécurité absolue d'un logiciel est complètement illusoire. Le jour où il y a quand même une faille, tu l'as dans le fion profond car tu ne l'as pas prévu, et la diffusion des correctifs est bien plus lente qu'avec un logiciel libre. Bien entendu il y a des exceptions comme ça a été le cas cette fois-ci pour bind, mais le pitoyable comportement de l'ISC reste heureusement rare, et la diffusion des correctifs a été très rapide. Si la même chose arrive dans djbdns, il faudra attendre que DJB réagisse, en attendant quoi les utilisateurs devront tous recompiler leur serveur DNS. Imagine qu'il soit en vacances...

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par Olivier Jeannet () le 18/11/2002 à 21:59. (lien). Évalué à 1.

                Si la même chose arrive dans djbdns, il faudra attendre que DJB réagisse, en attendant quoi les utilisateurs devront tous recompiler leur serveur DNS. Imagine qu'il soit en vacances... Ton argument me paraît bien faible. Pour djbdns, si on y découvre une faille, c'est comme pour un autre logiciel, on compte en premier sur les mainteneurs pour trouver le correctif, c'est normal vu qu'ils connaissent bien leur "bébé". Et rien ne t'empêche d'écrire un correctif et de le publier dans les mailing-lists, la correction sera dispo pour tout le monde. Je pense d'ailleurs que djbdns n'est pas le seul à connaître son code, d'autres s'y sont penchés, en particulier ceux qui ont créé des patches/extensions. Ceux-là aussi seront prompt à réagir en cas de vulnérabilité.

                • [^]Re: Nouvelle vulnérabilité dans BIND

                  Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 22:35. (lien). Évalué à 1.

                  Tu sais lire ? Visiblement non, vu que j'ai écrit « en attendant quoi les utilisateurs devront tous recompiler leur serveur DNS ». Ou alors il faut t'acheter des lunettes.

                • [^]Re: Nouvelle vulnérabilité dans BIND

                  Posté par Jar Jar Binks (page perso, ) le 18/11/2002 à 22:38. (lien). Évalué à 1.

                  Et puis j'ai du mal à voir comment tu peux comparer la diffusion de patches vaguement testouillés sur une ML à celle de binaires prêts à être déployés à grande échelle, avec l'appui d'équipes de sécurité habituées à ces problèmes.

              • [^]Re: Nouvelle vulnérabilité dans BIND

                Posté par boubou (page perso, ) le 19/11/2002 à 09:44. (lien). Évalué à 1.

                Et si justement le modèle de développement de Bernstein était ce qui se fait de mieux pour éviter tout bug ? Comme Thomas, j'attends les premiers bugs, depuis pas mal de temps déjà. Il y en a déjà eu dans postfix et exim, je ne parle pas de ces merdes de sendmail et bind.

                • [^]Re: Nouvelle vulnérabilité dans BIND

                  Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 11:31. (lien). Évalué à 1.

                  Dans Oracle aussi, il y a très peu de bugs.

                  • [^]Re: Nouvelle vulnérabilité dans BIND

                    Posté par boubou (page perso, ) le 19/11/2002 à 12:12. (lien). Évalué à 2.

                    En effet, mais 1) tu ne peux pas auditer les sources, 2) si tu veux profiter des performances d'Oracle, il vaut mieux bypasser les solutions standards (type JDBC/ODBC) ce qui te rend dépendant d'Oracle (alors que tu n'es pas dépendant des softs de Bernstein), 3) Oracle coûte la peau du cul, 4) tu n'as pas le droit de distribuer des patchs contre Oracle, 5) tu n'as pas le droit de poster des benchs d'Oracle, 6) tu n'es pas propriétaire de ta copie d'Oracle (tu ne peux pas faire du reverse dessus, etc.), etc...

                    • [^]Re: Nouvelle vulnérabilité dans BIND

                      Posté par Jar Jar Binks (page perso, ) le 19/11/2002 à 13:08. (lien). Évalué à 1.

                      Bin oui, mais il y a très peu de bugs. Et si c'était ça la bonne recette pour ne pas avoir de bugs ?

                      • [^]Re: Nouvelle vulnérabilité dans BIND

                        Posté par boubou (page perso, ) le 19/11/2002 à 13:18. (lien). Évalué à 1.

                        En effet. Je te rappelle qu'en ce domaine, les deux côtés (défenseurs du logiciel dont les sources sont lisibles par tous et défenseurs des logiciels fermés) ne sont pas trop convaincants.
                        
                        D'autre part, Oracle a très peu de bugs, mais en a. Alors que ce n'est pas le cas des outils de Bernstein. Mon point de vue est que la possibilité à tous de lire le source permet de réduire le nombre de bugs. Mais tu noteras bien que ça n'implique absolument pas d'être open source ou libre...

                      • [^]Re: Nouvelle vulnérabilité dans BIND

                        Posté par Thomas Mangin (page perso, ) le 19/11/2002 à 13:47. (lien). Évalué à 1.

                        LOL ! La solution est de demander a ce que BIND change de licence pour la licence d'oracle et tous les bug vont disparaitre..
                        C'est le meilleur argument de cette thread ..
                        
                        Et oui, je plaisante !!!

                  • [^]Re: Nouvelle vulnérabilité dans BIND

                    Posté par Olivier Jeannet () le 19/11/2002 à 19:24. (lien). Évalué à 1.

                    Dans Oracle aussi, il y a très peu de bugs.
                    
                    Ben viens dire ça ici à mes collègues qui s'en servent, et qui rencontrent quelques bugs, ou qui doivent parfois utiliser la version 8.5.1.2 au lieu de la 8.5.1.3 (chiffres au pif ;-) à cause d'on ne sait quoi. Je n'ai pas plus de détail mais je pourrais t'en donner en les questionnant. Les "drivers" aussi peuvent poser problème (je crois que c'est eux en fait).
                    Bon, c'est sous Windows (NT et 2000), mais quand même...