Presse : Les nouvelles de MS : changement de discours sur Linux et «petit vent d'été»
Posté par zyvad (). Modéré le 20 mai 2003.
Microsoft aurait par ailleurs reconnu ne pas avoir gagné en crédibilité à tenir sa précédente attitude.
Dans un autre registre Jean-Claude Stiegler de LinuxFrench nous fait part de ceci :
Après "le petit vent d'hiver" de Pierre Bugnon (Microsoft) et les brises printanières et rafraîchissantes envoyées par Charles de Miramon (Kde-France) et Fred (lea-linux.org), voici le "petit vent d'été (lettre ouverte à Pierre Bugnon)" d'Albert (LinuxFrench.NET).
![[en]](../images/en.png)
L'interview sur IT-Analysis (486 hits)-
Commentaire "The Register" (348 hits)
![[fr]](../images/fr.png)
L'article d'Albert sur LinuxFrench (1730 hits)
> Lire la dépêche (47 commentaires, moyenne: 2,6).
Vous avez demandé le commentaire #211674.
Run by 
Cette page a été générée par Templeet en 0.0654s (dont 0.0069 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
C'est vrai ça ?
http://www.linuxfrench.net/article.php?id_article=1214(...)
(OpenBSD n'ayant à son actif qu'un seul trou de sécurité en 7 ans)
Ca m'étonne un peu, quand même. Quelqu'un peut me renseigner ?
[^]Re: C'est vrai ça ?
Je crois que c'est plutôt un seul trou permettant un accès root distant. Cela reste néanmoins très impressionnant.
[^]Re: C'est vrai ça ?
OpenBSD n'ayant à son actif qu'un seul trou de sécurité en 7 ans
Me semble que la phrase exacte est "un seul remote root dans l'installation par défaut depuis 7 ans" (ou "un seul remote exploit..." ?).
Or, dans l'install par défaut, de mémoire, tu dois juste avoir un mini-smtpd et un ssh (la faille en question), ce qui limite quand meme beaucoup les risques (et ce qui leur permet d'avoir moins de choses a auditer).
Donc pour couper court au troll (ou pour le lancer ?), l'affirmation "OpenBSD est un OS qui considère la sécurité comme une de ses priorités" est vraie, mais l'affirmation "OpenBSD est un OS super secure avec lequel on risque rien et on peut dormir sur ses deux oreilles si on est assez souple pour ca" est fausse....
[^]Re: C'est vrai ça ?
Or, dans l'install par défaut, de mémoire, tu dois juste avoir un mini-smtpd et un ssh (la faille en question), ce qui limite quand meme beaucoup les risques (et ce qui leur permet d'avoir moins de choses a auditer).
Pas vraiment non, Dans OpemBSD dans l'install par defaut il y a tot ce qu'il faut pour faire un routeur/firewall/proxy NAT/tunnel. C'est le genre d'outils ideal a mettre aux bouts des DMZ quand on trouve que Cisco est trop cher.
De plus tous les demons OpenBSD sont chrootes par defaut. Donc ca limite vachement les problemes. Maintenant c'est clair que sur Apache, Samba ou DNS, ils se prennent les memes failles que les autres, mais vu que la base est quasi indestructible ces failles sont pratiquement inexploitables.
Il faut bien reconnaitre de plus qu'OpenBSD n'a pas vocation a etre installe en workstation ou meme en serveur complet. Linux et FreeBSD font beaucoup mieux le boulot a ce niveau la. Par contre en tandem c'est de la folie, un serveur Apache sur FreeBSD derriere un proxy OpenBSD c'est assez terrible.
Kha
Kha
root est un privilège, pas un droit !
[^]Re: C'est vrai ça ?
Dans OpemBSD dans l'install par defaut il y a tot ce qu'il faut pour faire un routeur/firewall/proxy NAT/tunnel.
Ok..... mais bon, la on parlait de "trucs qui peuvent contenir des failles de sécurité pour prendre la main sur la machine", et il est quand meme plus courant pour ca de s'attaquer aux services plutot qu'aux fonctionnalités que tu cites (et je voudrais pas avoir l'air de dénigrer, hein, pf est très bien, son principal défaut est d'etre beaucoup moins cher qu'un routeur cisco, donc moins pratique pour justifier de grosses factures :-).
.......mais vu que la base est quasi indestructible ces failles sont pratiquement inexploitables.
C'est le "pratiquement" qui me gene....
Pour prendre un autre exemple, je vais parler de la Trusted Debian. J'aime bien le concept de randomization des adresses de pile, etc.... qui rendent les buffers overflows pratiquement inexploitables, et d'ailleurs j'utilise cette distrib (et il y a aussi des mecanismes dans OpenBSD pour rendre quasi inexploitables la plupart des buffers overflow).
N'empeche que quand je programme, bah je continue de faire attention a ne pas faire de buffers overflow....
Tout ca pour dire que les chroot et autres "trucs pour proteger des programmes mal concus", bah on est jamais sur a 100% que c'est completement incontournable (cf la faille du jail Linux il y a quelques temps), et que c'est bien de les activer, mais faut pas compter a 100% dessus.
Je maintiens donc qu'OpenBSD est un des OS qui prend le plus en compte la sécurité, mais que leur "slogan" est en bonne partie du au fait qu'il n'y a pratiquement rien dans l'install par défaut (comparé à un autre *BSD, a un Linux, voire meme à un Windows, qui t'installe vraiment plein de saloperies par défaut :-), et que c'est DANGEREUX de trop compter sur ca.
[^]Re: C'est vrai ça ?
Ok..... mais bon, la on parlait de "trucs qui peuvent contenir des failles de sécurité pour prendre la main sur la machine"
La pile TCP/IP, les systemes de routages et les tunnels sont d'excellents points d'attaques pour prendre le controle des machines ou tout du moins utiliser des fonctionalites d'un reseau a l'insu des admins, donc je ne suis pas vraiment d'accord avec toi quand tu dis que cela ne devrait pas etre pris en compte. C'est l'eternelle question "who watches the watchmen ?" (qui surveille les gardiens, Alan Moore a lire absolument) .
C'est le "pratiquement" qui me gene....
Par pratiquement j'etend que la plupart des failles connues d'OpenBSD necessitent non seulement de la technique mais aussi un peu de chance pour pouvoir etre exploitee. La majorite des failles OpenBSD ne font que retransmettre les droits de l'executeur du demon, donc si on a bien verrouille ces droits on se retrouve avec un service en rideau point barre. Un utilsateur qui n'a pas de login (schell=/dev/null) qui est forcement chroote dans son coin (aucun prog "nuisible" a disposition) a du mal a faire des degats. Comme c'est souvent le cas par defaut a l'install ca limite en plus les erreurs des admins un peu brouillon.
Pour prendre un autre exemple, je vais parler de la Trusted Debian.
Trusted Debian a une voccation de serveur a part entiere, que n'a pas (a mon sens) OpenBSD. De fait TD est beaucoup plus versatile qu'OpenBSD donc beaucoup plus dure a securiser, ce qui augmente son merite. Neamoins personellement meme une TD je la mettrais derriere un OpenBSD (paranoia quand tu nous tient)
Tout ca pour dire que les chroot et autres "trucs pour proteger des programmes mal concus", bah on est jamais sur a 100% que c'est completement incontournable
C'est sur que l'on peut toujours tomber sur une personne plus maline que les autres qui va tomber sur une faille que personne n'avait vu jusque la. C'est d'ailleurs un des enormes avantages du libre (given enough eyeballs, all bugs are shallow , avec assez d'yeux tous les bugs sont evidents), mais malgre tout c'est clair qu'il ne faut pas en profiter pour bacler son propre travail. Cependant il est rassurant de savoir que la plateforme sur laquelle on bosse est solide et que les seuls bugs dont on a a se preocuper sont ceux que l'on pourrait ecrire ou creer par des erreurs de configuration. En d'autres termes je n'arrete pas de faire tres attention a ce que je fais, par contre je ne passe que tres peu de mon temps a controller ce que l'OS fait. Et ca c'est vraiment appreciable.
Kha
Kha
root est un privilège, pas un droit !
[^]Re: C'est vrai ça ?
Ce n'est pas plutot simplement "Watchmen" d'Alan moore...
"Who whatches the watchmen" étant une réplique de la BD. Cela dit le titre de la vo est peut être différent (mea culpa je ne possède que la vf).
Et cela dit, a lire absolument quand même, comme tout ce qu'a fait Alan Moore.
-1
[^]Re: C'est vrai ça ?
Oui c'est ca, j'ai pas voulu faire trop long mais comme je ne connaissais pas le titre de la BD francaise j'ai prefere en rester a la citation. Admettons le si votre fournisseur de BD ne comprend pas quand vous lui demandez "who watches the watchemen" une remise en question de vos lieux d'approvisionement est de rigueur.
Kha
Kha
root est un privilège, pas un droit !
[^]Re: C'est vrai ça ?
La cItation d'origine est "Quis custodiet ipsos custodes?", une citation latine dont la traduction donne "Qui surveille les gardiens?".
Elle est a l'origine du titre "Watchmen" et revient en permanence dans la série, toujours de manière incomplete.
[^]Re: C'est vrai ça ?
En parlant de truc qui revient en permanence dans la BD, les nouvelles photos du cratere "happy face" sur mars
http://www.marstoday.com/viewsr.html?pid=9192(...)
Kha
(quitte a etre hors sujet, autant faire ca bien)
Kha
root est un privilège, pas un droit !
[^]Re: C'est vrai ça ?
Only one remote hole in the default install, in more than 7 years! (voir sur http://www.openbsd.org,(...) c'est les premiers mots)
Donc un seul trou de securite utilisable a distance dans l'installation par defaut.
OpenBSD n'installe pas grand chose par defaut qui peut s'exploiter a distance. Pas de demons inutiles. C'est presque comme s'ils disaient qu'ils n'avaient jamais eu de trous de securite exploitable a distance sur une machine qui n'a pas de carte reseau!
Bref, c'est du pipo.
Par contre, ce qui n'est pas du pipo, c'est l'audit de securite qui se fait par ailleurs par l'equipe d'OpenBSD. Voir http://www.openbsd.org/security.html(...)
Le bonjour chez vous,
Yves