Journal : La securité de Longhorn
Posté par PsychoFox () le 21 octobre 2004
Voici l'opinion (sur son blog perso) d'un developpeur de Longhorn au sujet de la sécurité. Il y fait des comparaisons avec d'autres projets libres. C'est un peu trollistique, mais c'est interessant tout de même et tout n'est pas à jeter.
http://weblogs.asp.net/larryosterman/archive/2004/05/25/141593.aspx(...)
info: ce n'est pas tout neuf, ça date du mois de Mai.
Le même donne son avis sur la sécurité des navigateurs en relation avec ça:
http://www.securityfocus.com/archive/1/378632/2004-10-15/2004-10-21(...)
et ça:
https://linuxfr.org/2004/10/20/17462.html(...)
http://weblogs.asp.net/larryosterman/archive/2004/05/25/141593.aspx(...)
info: ce n'est pas tout neuf, ça date du mois de Mai.
Le même donne son avis sur la sécurité des navigateurs en relation avec ça:
http://www.securityfocus.com/archive/1/378632/2004-10-15/2004-10-21(...)
et ça:
https://linuxfr.org/2004/10/20/17462.html(...)
> Lire le journal (22 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #488074.
Run by 
Cette page a été générée par Templeet en 0.0521s (dont 0.0045 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Et sur le contenu ?
Je n'ai vu aucun commentaire sur le contenu. Pourtant, des passages comme
me rappelent que Microsoft utilisait il y a pas si longtemps la fermeture de leur source comme un argument de sécurité. Ce n'est pas compter sur la sécurité par l'obscurité ?
De plus, il n'y a aucun argument dans ce qu'il avance, juste
et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.
Enfin, pour ce qui est de
je ne trouve pas ca rassurant, surtout si ils reprennent la couche réseau du SP2. Pour les utilisateurs de XP dans notre réseau, l'installation de SP2 a posé de gros problèmes, le mieux étant que pour deux ordinateurs identiques (celui proposé par l'école), les effets étaient différents. Outre les programmes ne fonctionnant pas, et le firewall qui bloquait tout, il y'avait aussi un truc super chiant : l'update modifiait plein d'options de configuration.
[^]Re: Et sur le contenu ?
me rappelent que Microsoft utilisait il y a pas si longtemps la fermeture de leur source comme un argument de sécurité. Ce n'est pas compter sur la sécurité par l'obscurité ?
Ne pas melanger l'opinion d'un developpeur et de sa boite, c'est 2 choses differentes
et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.
Ben il y a des trucs qu'on n'a pas le droit de reveler, et d'autres qui sont dispo publiquement, suffit de chercher ce qui s'est dit pendant le PDC, les docs sur microsoft.com,...
je ne trouve pas ca rassurant, surtout si ils reprennent la couche réseau du SP2. Pour les utilisateurs de XP dans notre réseau, l'installation de SP2 a posé de gros problèmes, le mieux étant que pour deux ordinateurs identiques (celui proposé par l'école), les effets étaient différents. Outre les programmes ne fonctionnant pas, et le firewall qui bloquait tout, il y'avait aussi un truc super chiant : l'update modifiait plein d'options de configuration.
Ben que le firewall bloque tout c'est normal. Un systeme sur commence par tout bloquer par defaut, et tu debloques ce dont tu as besoin, ca s'appelle reduire la surface d'attaque.
Quand aux problemes, j'aimerais bien que tu detailles un peu plus, quels types de problemes ?
Pour Longhorn, perso je trouves tout a fait normal que les gens doutent jusqu'a ce qu'ils l'aient devant les yeux, mais sachant ce que je sais, je suis assez d'accord avec lui.
[^]Re: Et sur le contenu ?
et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.
Je crois que s'il site 2x le projet openbsd, c'est justement parce qu'il dit justement que la politique chez microsoft est d'auditer beaucoup plus le code qu'auparavant :
But Microsoft GETS security nowadays. [...] Every line of code in the system is code reviewed before it’s checked into the mainline source tree, to check for security problems, and we’ve got a security push built-into the schedule where we’ll go back and re-review all the code that was checked in during the lifetime of the project.
[^]Re: Et sur le contenu ?
Ce qui m'intéresse aussi ce sont les outils d'audit de code utilisés pour Linux et les projets libres phares ainsi que leurs stats d'utilisation.
Leur usage est-il systématique ? Certainement pas.
A la rigueur c'est tolérable sur de petits projets de dév indépendants, mais dès qu'on rentre dans un logiciel un peu gros avec beaucoup de contributeurs, il faut un outil de verification !
[^]Re: Et sur le contenu ?
> Ben que le firewall bloque tout c'est normal. Un systeme sur commence par tout bloquer par defaut, et tu debloques ce dont tu as besoin
le problème est la nouveauté de cette politique (chez microsoft en tout cas) qui fait que les utilisateurs :
- ne savent pas ce que c'est
- ne savent pas comment ca marche
- ne savent meme pas que c'est la
- s'en foutent puisqu'on leur dit que ca marche tout seul
Un firewall doit etre activé au point d'entrée sur un réseau, pas sur toutes les machines à l'intérieur
> ca s'appelle reduire la surface d'attaque.
ca serait pas mieux de pas laisser trainer des ports RPC ouverts ?
[^]Re: Et sur le contenu ?
Un firewall doit etre activé au point d'entrée sur un réseau, pas sur toutes les machines à l'intérieur
Et pour les gens qui ont XP a la maison, le point d'entree c'est quoi si ce n'est la machine elle meme ?
ca serait pas mieux de pas laisser trainer des ports RPC ouverts ?
Ca resoudrait quoi ? Ca empecherait les hackers d'attaquer d'autres ports ? Non.
Avec le firewall qui tourne, tu sais qui ecoute sur le reseau, tu peux decider de le permettre ou pas, ...
[^]Re: Et sur le contenu ?
> mais sachant ce que je sais, je suis assez d'accord avec lui
Ca c'est un point très intéressant.
"Quand je vois ce que je vois, et que j'entends ce que j'entends, je me dis que j'ai raison de penser ce que je pense."
:-)
Non, rien.