kalahann a écrit 734 commentaires

Si toi tu la connais la faille, il y a de grandes chances pour que d'autres la connaissent aussi. Je peux te dire que ce genre d'infos circulent très vite par les channel IRC et autres sites pirates à 2 sous... Les seuls qui ne sont pas au courant après, ce seront les admins. Cool !

Tu dis:
Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
On ne peux pas comparer une démarche générale et un cas particulier. D'ailleurs, certaines personnes qui ont posté (trollé?) sur cette news ne sont pas d'accord avec cette méthode et le disent (kael, moi et d'autres...)
C'est clair que de toute façon ça va moins gueuler que pour MS... on ne se refait pas.

30 jours c'est beaucoup trop. Ca laisse largement le temps de savoir utiliser la faille, mais on ne donne pas les moyens aux admins de s'en protéger! Je trouve que c'est une démarche irresponsable.

Rien que les 2 semaines pour corriger wu-ftpd je trouve que c'est trop long. Quand on a un trou de sécurité aussi important que celui-là on met un développeur dessus jusqu'à ce que ce soit fini et point barre. Pas besoin de 2 semaines pour ça! Je veux bien croire que le cycle patch/compilation/test/packaging/test/re-test... soit long, mais quand même!

Ah oui, encore un mot pour ce qui est de divulguer ou pas les failles dès leur apparition: Il y a une différence entre une faille découverte par l'auteur du soft et quelqu'un d'autre. Dans le premier cas, on peut se permettre de ne pas tout divulguer tout de suite et voir avec les distributeurs pour correction rapide de la faille. C'est le cas où pour moi ça pose pas de pb. Par contre si c'est qqun d'autre, tu n'as aucune certitude sur le nombre de personnes au courant et la connaissance de la faille peut se répandre. Là, tu dois divulguer.
Mais ce n'est que mon avis. Le principe, c'est que tu ne peux pas te permettre de ne pas donner aux gens les moyens de se protéger SAUF quand la connaissance de la faille est très réduite et de façon certaine.

Je suis d'accord, mais il y a quand meme une GROSSE différence. MS suggère de faire ça TOUT LE TEMPS alors qu'ici c'est (censé) être exceptionnel. Comme il y a plusieurs fournisseurs différents, il faut qu'ils sortent les annonces de failles et les correctifs en même temps, sinon les retardataires sont pénalisés et leurs distros risquent d'être piratées. Ca c'est l'explication, pas ce que je pense vu que je ne suis pas d'accord avec cette façon de procéder.
En général, les annonces sont faites au plus tôt, non?

Au fait, je me permet de compléter:

MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille

...SI on a envie de sortir un patch

La Ligue des droits de l'homme a bafoués les principes sur lequels elle se fonde, c'est définitivement coupable comme comportement, surtout au vu des moyens d'oppression dont elle a fait l'usage: Pressions sur des tiers innocents, menaces de procès, affirmations gratuites, arguments juridiques non valides dans le but d'intimider, commentaires diffamatoires, etc.

On devrait leur rappeler la déclaration des droits de l'homme
Article 2 - Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'homme. Ces droits sont la liberté, la propriété, la sûreté et la résistance à l'oppression.

Article 17 - La propriété étant un droit inviolable et sacré, nul ne peut en être privé (...)

Le but n'est pas de faire de la rétention d'informations. Parfois, pour un trou important qui touche un grand nombre de systèmes, il vaut mieux annoncer la faille en faisant le moins de bruit possible et sans donner de détails techniques. Ca laisse du temps aux fournisseurs pour corriger et distribuer leurs programmes sans que les pirates soient capables d'utiliser la faille. Le principal avantage est de gagner du temps face aux pirates.

Ce n'est pas la première fois qu'un site comme security focus ou bugtraq se plaint du comportement d'une distribution linux du point de vue des annonces/maj de sécurité. La dernière fois il me semble que c'était à cause de la vulnérabilité format string qui touchait quasiment tous les unix, et plusieurs distrib linux l'ont annoncé bcp trop tôt.

Sacré pbpg, dès qu'il trouve une pique à lancer sur le libre ou son fonctionnement, il peut pas s'en empêcher...

Ouais... sur les 10 premiers, tous font partie soit de red hat, soit de ximian. Sauf telsa, mais si je me souviens bien son copain travaille chez red hat... :o)

La méditation est pas mal non plus...
Les portraits de RMS et linux au mur avec les pingouins qui méditent autour ça fait un peu secte, mais c'est marrant...

Free code aussi, je sais pas si vous avez vu les allusions: "torvalds" sur l'harmonica, "all your base are belong to us" sur la pancarte à côté de la cage, RPMx1000 sur le cadran de la moto... ils ont mit tout ce qu'ils pouvaient.

D'après l'article de presse sur l'accord suse:
http://eltoday.com/article.php3?ltsn=2001-02-01-001-01-PS(...)
L'accord porte sur les logiciels et le support pour les machines xSeries (intel), pSeries (powerpc) et zSeries (mainframes).

En gros ça fait complètement doublon. IBM fait sûrement ça pour ne pas mettre tous ses oeufs dans le même panier? C'est plus prudent... Et puis les entreprises qui ont déjà un firewall ou un serveur web sous red hat seront content de garder la même distrib. Je trouve ça pas mal qu'IBM s'affranchisse d'une distribution particulière.

Il faut voir ce qui est bénéfique: ça va donner beaucoup de parts de marché "officielles" à linux, qu'on pourra revendiquer. Ca fera plus de poids auprès des décideurs pressés qui lisent le 01 en diagonale.
Ca va donner aussi plus de boulot et d'expérience dans le domaine des serveurs à suse et red hat, c'est pas plus mal.

Ouais, c'est la date qui convient à une sortie de gnome...


désolé, -1

Hé! je voulais pas lancer de troll!

Je me cite:
Je sais y'avait de très bonnes raisons pour ça [les développements sauvages sur les noyaus stables]
mais de toute façon c'est un troll sans fin.

Justement, je voulais préciser que *maintenant* qu'on a un noyau de développement, sur lequel les développeurs vont pouvoir bosser et qu'on va pouvoir tester, il n'y aura (presque?) plus de problèmes de ce genre, le noyau stable va enfin pouvoir *commencer* à devenir mature.

D'ailleurs je pense suivre dorénavant le noyau instable au lieu du noyau stable pour pouvoir tester les nouvelles évolutions. Je sais que c'est dangereux, mais bon si on sauvegarde suffisamment ses données...

OK, le 2.4 n'est pas censé être parfait, d'ailleurs il est reconnu qu'un noyau n'est pas stable avant un niveau de patch suffisamment élevé. Le noyau réellement stable actuellement, c'est le 2.2 On est d'accord.

Ce que je trouve dommage, c'est que le 2.5 n'ai pas pu être lancé plus tôt. C'est à ça qu'il sert: pouvoir tout casser, mettre du code tout neuf, puis tester avant intégration dans le noyau stable. Comme ça on n'a pas de mauvaise surprise. De toute façon il faut être STUPIDE pour installer les derniers noyaux en croyant que tout va forcément bien se passer.

Mais globalement c'est satisfaisant, car ça nous a permis entre autres d'avoir au hasard ext3 et une VM sensiblement meilleure dans le noyau stable sans attendre le 2.6

Bah non, je pense que C et C++ font partie des 65,5% qui manquent dans leur tableau !!!!! Comptez la colonne de droite, vous tomberez sur 44,5 !!!!

COMMENT peut-on appeler "baromètre des compétences les plus recherchées" un sondage même pas pertinent sur les langages utilisés dans les qq entreprises qui ont été interrogées?

Je préfère m'arrêter là et ne pas dire ce que je pense du JDN, je risquerait d'être vulgaire...

Oui, mais d'un autre côté les noyaux free, net et open proviennent de la même source et doivent être très proches. Je suppose que dès que l'un a une fonctionnalité vraiment intéressante elle est rapidement portée vers les autres. Une fois qu'on a fait l'effort de faire un portage vers un des BSD, le reste va tout seul...

D'ailleurs, le port Sparc64 d'openbsd est basé sur le noyau de netBSD. à propos d'open/sparc64: "The orginal port was made for NetBSD by Eduardo Horvath and released for the first time in January 1999. The porting to OpenBSD started in August 2001 and in the end of September the first binary snapshot was released".
2 mois, c'est plutôt correct :o)

En ce qui concerne les applications associées aux patches noyau, je suppose qu'ils peuvent être identiques sur les 2 plateformes (linux et *bsd) assez facilement. Si ce ne sont que des programmes de config...

En ce qui concerne les problèmes de licence, il me semble qu'on ne peut pas inclure de code GPL dans un programme sous licence BSD... Quelqu'un pour confirmer? Toutefois, la NSA a donné ses patchs en licence BSD comme en licence GPL, à voir...
On peut lire à l'adresse: http://www.nsa.gov/selinux/license.html(...)
"All source code found on this site is released under the same terms and conditions as the original sources. For example, the patches to the Linux kernel, patches to many existing utilities, and new programs and libraries available here are released under the terms and conditions of the GNU General Public License (GPL). The patches to some existing utilities and libraries available here are released under the terms and conditions of the BSD license."

C'est pas tant que ça un troll, c'est la vérité.
A partir de maintenant, les patchs seront testés dans le noyau instable puis backportés dans le noyau 2.4, on n'aura plus de problèmes de ce genre (ou alors beaucoup plus rarement) car tout sera mieux testé. On se plaindra tôt ou tard que tout n'est pas backporté assez vite dans le noyau stable comme pour l'USB, mais c'est une autre histoire ;)

Les développeurs ont enfin un noyau "on the bleeding edge" pour s'amuser entre eux et faire péter toutes leurs données dans la joie et la bonne humeur. Ils vont s'arrêter de tout casser dans le noyau stable en voulant réécrire des VM et toucher aux inodes à tout bout de champ!
C'est quand même dingue de toucher à des parties aussi sensibles sur un noyau stabilisé sans les tester à fond. Je sais y'avait de très bonnes raisons pour ça, dont leur frustration de pas avoir de *vrai* noyau de dev, mais de toute façon c'est un troll sans fin.

Quake a été porté sur Zaurus, par une boîte qui s'appelle insomniaq.
Quelques screenshots: http://www.insomniq.com/files/zaurus/shots/quake.html(...)

Konqueror aussi, paraît-il par John Ryland de Troll Tech: http://www.insomniq.com/files/zaurus/shots/konq.html(...)

Merci slashdot.

Par contre c'est quand même slashdot, donc méfiez-vous des fake. Parce que des fois, entre ce site et "infos du monde" y'a pas beaucoup de différences.

Bah y'avait pas que le 2.2.12.
2.2.10: nouvelle VM (le pire c'est que celui-là marchait à peu près!)
2.2.11 labellé "dontuse", peut corrompre le fs, no comment
2.2.12 le port parallèle ne compile pas2.2.15 encore une corruption possible du fs, rien que ça!

Mais en fait le bug du 2.4.15/2.5, c'est fait exprès. C'est juste pour bizuter Marcelo Tosseti!

Je ne crois pas. Il me semble que ce magazine sert à faire joli sur des tables ou des présentoirs quant tu attends pour un entretien d'embauche...

Sinon quand t'es aux chiottes ça peut aussi faire passer le tempns en se marrant un peu.

--
Colchiques dans les prés, fleurissent, fleurissent...

L'intervention de Microsoft est aussi un facteur déterminant pour capter leur attention casser du logiciel libre.

Je ne vois pas à quoi on peut s'attendre d'un sdéminaire sur le libre avec microsoft... Ils sont forcément là CONTRE le libre! Qu'est-ce qu'ils vont venir y faire? parler des bienfaits de l'open source, montrer la supériorité d'apache sur IIS, promouvoir le full disclosure pour les failles de sécurité?

Vu les tarifs pratiqués (et connaissant 01), j'ai peur qu'aucun ou peu d'acteurs des LL soit présent (pas d'assoce, d'idéalX, de SQL d'ingénierie, d'alcove...) pour faire passer le message qu'on souhaiterai face à des IBM et Microsoft...

Ouh là, vous me faites peur...

Chez moi j'ai mis toutes mes partoches (sauf / et /boot, je suis pas malade) en reiserfs par-dessus du raid software ide, pour avoir des bonnes perf et des données sûres...
Je sais qu' il y avait eu pas mal de pb de corruption liés à reiserfs au début, mais maintenant ça marche, ou pas?

Ce sont les données qui décrivent par exemple: emplacement, taille, uid et gid propriétaires, dates de création, de dernier accès et de dernière écriture... C'est hyper important, car si CES données-là sont foutues alors tu as de grandes chances de ne plus retrouver ton fichier...

personnellement, j'utilise le miroir ftp.tengu-easynet-fr.lkams.kernel.org

Hop, les liens direct vers les noyaux sur ce serveur:
patch-2.4.15: ftp://ftp.tengu-easynet-fr.lkams.kernel.org/pub/linux/kernel/v2.4/(...)
linux-2.4.15: ftp://ftp.tengu-easynet-fr.lkams.kernel.org/pub/linux/kernel/v2.4/(...)
2.5.0: ftp://ftp.tengu-easynet-fr.lkams.kernel.org/pub/linux/kernel/v2.5/(...)

Si vous avez déjà un 2.4.13 ou .14 , utilisez les patch plutôt que les noyaux, ça épargne les miroirs et ça va plus vite à télécharger!


Question: Que pensent les personnes qui en ont utilisés, des noyaux de développement? est-ce suffisamment stable et fiable pour une station personnelle?
Je comptais passer en 2.5 (jamais sur la *toute* dernière version du noyau évidemment, je tiens pas à me faire corrompre mes disques) mais j'avoue que j'hésite un peu...

Encore? ces changements de version continuels... Ca m'écoeure, ça, sans dire!

Y'a des mecs qui ont voté positif. J'y crois pas, ptdr! :oD

Tiens au passage, j'ai découvert alt+drag gauche et alt+ drag droit pour déplacer ou agrandir les fenêtres, ça change la vie.

Il n'y a pas que ça. Les développeurs du noyau utilisent d'autres moyens pour rendre plus difficile l'écriture de modules non-libres pour linux.

* Les symboles GPL-ONLY:

Ce sont des symboles du noyau qui ne sont accessibles qu'aux modules reconnus comme étant sous licence GPL. Si un symbole du noyau a été exporté avec EXPORT_SYMBOL_GPL, il n'est accessible qu'à des modules ayant une chaine MODULE_LICENCE "compatible" avec la GPL. Ca a été discuté dans la linux kernel mailing list.

* Limitation des fonctionnalités dynamiques du kernel:

On peut prendre pour exemple le sous-système réseau de linux. Si je me souviens bien, un certain nombre de développeurs auraient voulu que des parties lourdes du système réseau soit modulaires, afin de pouvoir être chargées et déchargées voire remplacées à chaud dans le noyau. Ce qui aurait permit de changer l'implémentation d'un protocole réseau particulier en mettant un module propriétaire, de changer la pile IP, d'implémenter de façon propriétaire des protocoles non reconnus par linux...
Cette possibilité a été écartée pour empêcher qu'il soit facile de changer certaines parties du code réseau de linux. Pour qu'il soit au moins "assez dur" de livrer un noyau linux avec des protocoles réseau propriétaires en version exclusivement binaires. Ce qui comporterait de gros risques du point de vue de la compatibilité! Ca force les développeurs à intégrer leur code directement dans le noyau, avec du coup une licence compatible avec la GPL... l'interopérabilité est la raison première!

On peut penser que ce genre de barrières est indésirable, que moralement c'est Mal (c'est pas pire que certaines méthodes de certains éditeurs de logiciels propriétaires!) Mais bon c'est fait dans le but de garantir au maximum la disponibilité du code source des protocoles, ce qui est vital.

Il paraîtrait même qu'ils se sont enfin débarassés de la dépendance avec la libproplist. Maintenant ils se basent sur du code de WINGs qui est bien plus propre.

Ca va faire Aïe...

Je ne crois pas que le portage sur GC soit très dur... Linux a bien été porté sur N64, avec son mips R4400 je crois (d'ailleurs c'était le 1er portage de linux sur console de jeux). La GC étant basée sur un powerpc, ça devrait pas être le plus dur. A mon avis le plus chiant, c'est le manque de disque dur et de ports usb, et le format pourri du lecteur optique! On aura peut-être des périphériques externes...

Je me serait bien mis linux sur une console de salon, mais bon entre la GC qui n'est pas faite pour mettre un OS standard, la PS2 pour laquelle on attend toujours, et la dreamcast...
La xbox j'en parle même pas, autant mettre une microatx dans un petit boitier desktop, ça prendra moins de place et ça fera moins de bruit :o(