• # Re: La supériorité du libre en matière de sécurité logicielle démontrée

    Posté par  . Évalué à 2.

    The author states that this flaw was found by reviewing the recently leaked Microsoft Windows source code. The flaw reportedly resides in 'win2k/private/inet/mshtml/src/site/download/imgbmp.cxx'.

    Bon sang mais c'est bien sur, Microsoft a laissé ses sources être piratés pour que de gentils hackers les débuggent gratuitement ! Ils sont malins chez Microsoft !
    Bientôt, ils vont même se mettre à l'open-source ;-)

    The report indicates that IE 5 is affected but that IE 6 is not affected.

    Si ce sont toutes les versions 5.X qui sont affectées c'est grave, elles sont encore trés fréquentes (surtout la 5.5 !)
  • # Re: La supériorité du libre en matière de sécurité logicielle démontrée

    Posté par  . Évalué à -1.

    Je me demandes bien comment il se fait que la faille ait ete corrigee dans IE6 alors si il a fallu attendre que les sources partent dans les choux.
    • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

      Posté par  . Évalué à 2.

      Reste qu'en un WE, quelques personnes ont eues l'occasion de matter les sources (un nombre négligeable par rapport aux developpeurs de logiciels libres), et, comme par hasard, un bug a été découvert, ce qui montre bien que plus de personnes lisant le code implique plus de bugs découverts.
      • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

        Posté par  . Évalué à 2.

        ce qui montre bien que plus de personnes lisant le code implique plus de bugs découverts.

        Ca je veux bien le croire, ce qui m'agace dans le mythe lance par Eric Raymond et son bazar, c'est cette legende comme quoi beaucoup de gens VONT lire le code, ce qui est clairement faux comme cela a ete prouve par le passe, notamment dans la news d'un auteur de LL qui racontait ses deboires, et qui etait rejoint par d'autres dans les commentaires.
        • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

          Posté par  (site web personnel) . Évalué à 4.

          Tu penses honnêtement que personne ne lit le code source de Linux ? Ne serait ce que pour le plaisir d'en comprendre le fonctionnement...

          Pour de gros projets comme le noyau Linux, Open Office, Mozilla, il est évident que beaucoup de gens VONT lire le code.

          Il est vrai que toi MS t'interdit de lire du code GPL... C'est bien triste pour l'ouverture d'esprit d'un développeur.
          • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

            Posté par  . Évalué à 3.

            Les gros projets si, il y en a, maintenant combien de ces gens sont capables de discerner un bug plus ou moins complexe, c'est une autre question, surement qqe uns mais pas bcp, un kernel c'est complexe.
            Perso avant d'aller chez MS, j'ai bosse dans une ecole d'ingenieurs comme assistant ou mon boss m'avait demande a l'epoque de modifier une version alpha de Mozilla pour les besoins de l'ecole, ben je peux te dire que se plonger dans les sources d'un monstre pareil est un cauchemard, et faut pas esperer etre utile a un projet de cette taille avant plusieurs mois, le temps de comprendre le fonctionnement de la chose, inutile de dire que tous les gens qui s'amusent a zieuter les sources une fois de temps en temps ne vont rien y apporter.

            Pour ce qui est des milliers d'autres LL, il est tres clair que bcp d'entre eux n'ont jamais ete lu par qui que ce soit d'autre que l'auteur.
            • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

              Posté par  . Évalué à 4.

              que LES auteurs.

              et pour certains bidules très personnalisables, comme PhpWiki par exemple, où les utilisateurs écrivent souvent finalement une partie du bousin (templates de pages, etc), ce nombre augmente vite.


              sinon, oui, c'est clair que depuis l'avènement des packages au format .rpm ou .deb, beaucoup de monde oublie même que des fichiers sources sont à l'origine de leurs programmes gentiment installés.

              mais l'important reste qu'on PUISSE le faire.
            • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

              Posté par  . Évalué à 4.

              ou mon boss m'avait demande a l'epoque de modifier une version alpha de Mozilla pour les besoins de l'ecole

              Ca je veux bien le croire. Se plonger dans les sources de Mozilla, c'est un coup à ne jamais revenir. Mais tu oublies toutefois que dans ce genre de cas, pour trouver un bug, c'est comme pour le SIDA: Un seul suffit.

              En dehors de cela, il y a beaucoup plus de gens intéressés par découvrir un source que tu ne le crois. C'est d'ailleurs l'un des moteurs du logiciel libre. Je ne sais pas ce qui t'as poussé vers l'informatique, mais à te lire, il semble que pour toi, développer un logiciel est une activité forcément professionnelle, rébarbative, et que les gens qui n'ont pas été spécifiquement formés pour exercer ce métier, au sein d'une structure définie, sont forcément en dehors de la chose. C'est l'impression que tu donnes en tout cas. Ca ne doit pas rigoler tous les jours chez Bill/PasBill :-)

              Il y a de nombreux exemples, le dernier en date en ce qui me concerne, fût l'installation d'une Radeon 9200 chez un copain. Impossible de faire fonctionner l'accélération graphique. Il se trouve que le pilote de chez ATI était buggé ! Une ligne restée à « generic_setup » à la place de « radeon_setup », au milieu du code source principal. Rien chez ATI, pas de patch ni autre, à se demander s'ils sont au courant de ce problème. Heureusement, ils avaient eu la bonne idée d'ouvrir leur sources. Résultat, on a trouvé la solution au détour d'un forum quelquonque sur le net, ou un presqu'anonyme affirmait avoir eu le même problème et proposait la solution QU'IL avait trouvé. Résultat: UNE ligne corrigée, recompilation, et la carte a fonctionné parfaitement dans la soirée. Si l'on avait du attendre le patch officiel, je crois que la carte serait toujours hors-service à l'heure qu'il est. En tout cas il y a bien eu une personne dans le lot qui a eu envie de se taper les pilotes d'un modèle particulier de carte graphique dont le modèle est distribué par un fabricant exclusif. Preuve que cela existe ... et que cela suffit !

              Autre question: As-tu déjà fait partie d'une SSII dans ta carrière ? C'est la plupart du temps un boulot de merde mais cela a au moins un avantage: Celui d'essayer un large nombre de grandes entreprises avant de se fixer, et cela permet surtout de relativiser énormément son travail: On sort tout frais de l'école, on apprend son métier et très vite les rigueurs professionnelles s'installent, on te montre toutes les procédures, les chose à faire, à ne pas faire, etc ... jusqu'à ce que, six mois plus tard, tu sois envoyé en mission dans une autre compagnie qui fonctionne tout aussi bien mais qui ne s'encombre pas de toutes ces formalités !

              Tout cela pour dire que la mentalité d'une communauté de développeurs bénévoles mondiale est très différente de celle qui règne problablement au sein de ta compagnie.
              • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

                Posté par  . Évalué à 5.

                C'est l'impression que tu donnes en tout cas. Ca ne doit pas rigoler tous les jours chez Bill/PasBill :-)

                Ben detrompes toi, je codes sur mon temps libre et j'aime ca, je m'amuserais pas a programmer depuis 15 ans sinon...

                Le truc etant que je code ce qui me plait, mon interet c'est de creer des softs et tout ce qui est design d'OS, je n'ai plus autant ce cote curieux qui fait que quand un soft dont j'ai besoin plante, je me plonges dans le code pour trouver le probleme, maintenant je pars chercher un soft qui lui fonctionne et ne m'emmerdera plus.
                Quand je me demandes comment le soft Y fait pour faire X, la oui je plonges dans le code pour voir, genre typiquement le kernel NT est super marrant a lire, mais quand je vois un soft qui ne m'interesse pas plus que ca techniquement se torcher lamentablement, je laisse qq'un d'autre chercher a ma place sauf si le crash/bug est dans un domaine qui m'interesse(kernel/stack reseau).

                Debugger un soft que je n'aurais pas eu envie d'ecrire, je ne le fais plus depuis qqe annees.

                En tout cas il y a bien eu une personne dans le lot qui a eu envie de se taper les pilotes d'un modèle particulier de carte graphique dont le modèle est distribué par un fabricant exclusif. Preuve que cela existe ... et que cela suffit !

                Ca oui, ca arrive, maintenant ca n'a rien a avoir avec des bugs de securite ou la il faut obligatoirement soit :
                - auditer le code en cherchant precisement cela
                - attaquer le soft

                Bref, c'est pas un probleme que tu trouves le soir chez toi en te rendant compte que le soft marche pas/mal, il faut des conditions speciales pour le voir.

                utre question: As-tu déjà fait partie d'une SSII dans ta carrière ? C'est la plupart du temps un boulot de merde mais cela a au moins un avantage: Celui d'essayer un large nombre de grandes entreprises avant de se fixer, et cela permet surtout de relativiser énormément son travail:

                Non, J'ai fait 2 ans d'assistanat/developpement dans une ecole d'ingenieurs et j'ai bosse 6 mois au BIT(organe de l'ONU), ca m'a fait realiser qu'il y avait bcp plus de branleurs incompetents que je n'aurais imagine(a l'ONU, pas a l'ecole ou ils etaient ok).
                A part ca, ben un soft que j'ai ecrit avec un copain, mais c'est pas vraiment une experience professionelle ca.

                Tout cela pour dire que la mentalité d'une communauté de développeurs bénévoles mondiale est très différente de celle qui règne problablement au sein de ta compagnie.

                Ca je sais, j'avais une vie avant MS et j'ai passe presque 2 ans exclusivement sous Linux sans toucher de Windows, j'ai eu largement le temps de voir comment ca marchait, et contrairement a ce que tu pourrais croire, c'est pas si different du fonctionnement en interne ici, mais il y a tellement d'a prioris sur ce qu'est MS, comment ils fonctionnent, etc... qu'il faudrait organiser une visite des lieux pour que ces prejuges dispairaissent.
          • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

            Posté par  . Évalué à 0.

            as tu déjà lu du code ? parce que moi après 10 ans sous linux, j'ai pas lu beaucoup de code. Je ne pense pas que beaucoup de monde regarde les sources pour s'amuser. Tout le monde ne fait pas de l'informatique !
        • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

          Posté par  . Évalué à 1.

          Bah c'est sûr que si tu code "yet another editor version 0.01 alpha" pas grand monde va venir matter tes sources :)
        • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          les "gens" ne vont peut être pas spontanément lire le code mais quand certains devels utilise certains et softs et remarque un comportement étrange et/ou s'ils veulent ajouter une fonctionnalité, ils se plongent dans le code et essaye de comprendre et parfois il arrive qu'ils tombent sur des bugs/problèmes ...

          M.
        • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

          Posté par  . Évalué à 1.

          beaucoup de gens VONT lire le code

          hu? sans les sources kam'rade jamais mon code n'aurait progressé de cette manière et à cette vitesse. L'enfermement n'est jamais bon, c'est valable pour m$ comme pour chacunE d'entre-nous. Pire, je vais jusqu'à penser que lire les sources est une des bases du métier. Je te fais d'ailleur remarquer qu'un Exemple est un Source.

          Bref, t'as pas fini t'embêter les mioches vieux $adiques >8)
        • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

          Posté par  (site web personnel) . Évalué à 3.

          > ce qui m'agace dans le mythe lance par Eric Raymond et son bazar,
          > c'est cette legende comme quoi beaucoup de gens VONT lire le code

          Le mythe, c'est

          "Mettez votre logiciel en open source => vous aurez des contributeurs."

          La réalité, c'est

          "Mettez votre logiciel en open source et créez une dynamique autour => vous aurez des contributeurs."

          Dans "créez une dynamique autour", il faut

          * Que le logiciel intéresse des informaticiens,

          * Que le logiciel soit un minimun utilisable,

          * Qu'il soit facile à installer/compiler,

          * Que les sources soient lisibles,

          * Si possible, que le logiciel soit "médiatisé", ou en tous cas connu d'une manière ou d'une autre,

          * Pourquoi pas que le logiciel intéresse des grosses boites (Linux, GCC, Gnome, ...)

          * ...

          Par exemple, Linux a réussi à créer cette dynamique, mais le Hurd, pas trop. Et on voit le résultat !
      • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

        Posté par  . Évalué à 1.

        oh, tu sais , un bon "grep snprintf *" suffit souvent a deblayer le chemin ...
    • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

      Posté par  . Évalué à 2.

      et bien cette partie de code a peut-etre été réécrite, car elle ne donnait pas satisfaction au developpeur !
    • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

      Posté par  (site web personnel) . Évalué à 1.

      Là, tu abuses un peu, non ?

      Je ne vois que deux solutions :

      1) Le bug a été corrigé par hasard. Par exemple, une réécriture du code concerné.

      2) La faille a été trouvée, et la correction n'a pas été répertutée sur la branche 5.5

      Dans le cas 1), ben je ne vois pas ce que ta remarque apporte, et dans le cas 2), bah, je trouve pas ça glorieux pour la politique de sécurité de MS.
  • # Re: La supériorité du libre en matière de sécurité logicielle démontrée

    Posté par  . Évalué à 1.

    Elles sont vraiment disponibles ces sources ? Moi personnellement je ne les ai jamais vues ! :-)

    Cela m'amène à une autre réflexion: Ladite « viralité » de la GPL est-elle réversible ? Je veux dire: Si je prends les sources diffusées et que je les améliore avec un patch en GPL ? Il y a des chances pour que Windows passe aussi en GPL ? :-)



    ( ... et j'ai vu de la lumière au bout d'un long corridor ! ----->[] )
    • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

      Posté par  . Évalué à 2.

      tu n'as qu'à croire que le saucisson est un fruit...
      ...et qu'il pousse sur un arbre communément appellé un saucissonnier.
    • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

      Posté par  . Évalué à 3.

      Cela m'amène à une autre réflexion: Ladite « viralité » de la GPL est-elle réversible ? Je veux dire: Si je prends les sources diffusées et que je les améliore avec un patch en GPL ? Il y a des chances pour que Windows passe aussi en GPL ? :-)

      Non. Seul l'auteur du logiciel peux choisir si il met ses sources en GPL ou non, et rien n'est obligatoire.
      Et c'est pas par ce que ton projet inclut par erreur quelques lignes de code en GPL que tu dois forcement mettre tout ton logiciel en GPL, il y a 2 solutions pour résoudre le problème :
      - Soit tu retires ces lignes de code en GPL.
      - Soit tu passes tout en GPL.
      Mais rien ne t'obliges à choisir la 2nd solution (contrairement à ce que voudraient faire croire certains opposants à la GPL).
      Après il faut aussi que tu t'arranges pour ne plus distribuer la version qui contenait les bouts de code en GPL, et voir avec l'auteur du code GPL pour s'excuser d'avoir violé temporairement la license (que tu choisisse la 1er ou la 2eme solution tu auras de toute facon violé la license à un moment).
      Mais c'est vrai que ca fait plus peur de parler d'un coté viral de la GPL :)
    • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

      Posté par  . Évalué à 2.

      Quand on regarde un code source:
      On peut dire "je n'ai rien trouvé"
      mais personne ne peut affirmer: "il n'y a aucune faille ou backdoor dedans".

      Aujourd'hui, les techniques de programation permettent de créer des backdoors tellement complexes q'elles sont vituellement indetectables, sauf coup de bol

      Une vieille histoire sur PGP (vers 1995) : après des années pendant lesquelles tout le monde pensait que c'était le nirvana de la protection, (code source disponible), qq'un y a trouvé une backdoor.
      Comme par hasard, une nouvelle version de PGP est immédiatement apparue, et tous les sites miroirs de l'ancienne version ont disparu en 24H00, sans le code source ...
      Depuis, je pense que l'oncle ... est en mesure de mettre des backdoors ou il veut quand il veut, sans que personne n'en trouve beaucoup dans son code source ...

      Et puis, à quoi ca sert de rechercher une backdoor dans une appli si on n'a pas validé que le compilateur n'en rajoute pas, ni validé le hardware.

      Qui peut affirmer qu'il n'y a pas de backdoor dans un processeur ou dans le BIOS intel ?

      Qui peut affirmer que le pays xxx n'a pas réusi - à l'insu des USA - à mettre une taupe dans les équipes de devpt de tel grand éditeur/constructeur/fondeur américain, pour y planquer une backdoor ? Après tout, tous les sces de renseignement du monde révent d'avoir pu implanter des backdoors (ca peut toujours servir un jour )....

      Parano, quand tu nous tiens..
      remarques ... mieux vaut savoir qu'on est peu de choses....
      • [^] # Re: La supériorité du libre en matière de sécurité logicielle démontrée

        Posté par  . Évalué à 1.

        De toute facon tu n'existes que parce qu'il ont profité d'une backdoor sur ton cerveau reptilien (bien wé trop vieux donc pas tres secure) et il te progetent ta vie directement par impulsion electrique, tout ca pour que tu te tiennes tranquille dans une bulle rouge sur des grande tours noire pour que tu fournisse de l'energie ... etc etc

        Bon ok poussez pas je sort.

        Dam

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.