Plop,
Petite news rigolote à propos d'Oracle qui avec un peu de cynisme représente assez bien l'entreprise.
Au départ, la lecture du billet assez abrasif sur leur blog m'avait juste fait sourire. Mais maintenant qu'il n'est plus disponible, je me dis que c'est dommage de ne pas en faire profiter la communauté.
En gros, Oracle parle du fait que c'est mal et qu'il ne faut pas s'essayer à la rétro-ingénierie sur leur code. Les problèmes de sécurités sont réglés de leur côté. Si jamais vous tombez dessus par rétro-ingénierie, ils le régleront mais ne vous attendez pas à des remerciements de leur part. D'ailleurs en tant que client, ce n'est pas votre boulot.
A customer can’t analyze the code to see whether there is a control that prevents the attack the scanning tool is screaming about (which is most likely a false positive)
A customer can’t produce a patch for the problem – only the vendor can do that
A customer is almost certainly violating the license agreement by using a tool that does static analysis (which operates against source code)
Q. What does Oracle do if there is an actual security vulnerability?
A. I almost hate to answer this question because I want to reiterate that customers Should Not and Must Not reverse engineer our code. However, if there is an actual security vulnerability, we will fix it. We may not like how it was found but we aren’t going to ignore a real problem – that would be a disservice to our customers. We will, however, fix it to protect all our customers, meaning everybody will get the fix at the same time. However, we will not give a customer reporting such an issue (that they found through reverse engineering) a special (one-off) patch for the problem. We will also not provide credit in any advisories we might issue. You can’t really expect us to say “thank you for breaking the license agreement.”
I do not need you to analyze the code since we already do that, it’s our job to do that, we are pretty good at it, we can – unlike a third party or a tool – actually analyze the code to determine what’s happening and at any rate most of these tools have a close to 100% false positive rate so please do not waste our time on reporting little green men in our code.”
Nous n'avons pas besoin d'analyser leur code. Ce sont des bons, c'est leur boulot, ils savent de quoi ils parlent.
L'histoire aurait pu s'arrêter là… après tout c'est leurs droits, leurs logiciels… et oui, ils ne doivent pas être si mauvais…
Peu de temps après leur communiqué et alors qu'il demande d'arrêter l'utilisation de logiciel d'analyse comme veracode pour l'analyse de la sécurité de leur application internet, une belle petite faille est découverte. On peut exécuter du code javascript sans problème dans leur champ de saisie d'url lors de la publication d'un commentaire.
https://twitter.com/thegrugq/status/631056841670135808
Bref, la classe.
# Avoir un code executable sur un site web...
Posté par mansuetus (site web personnel) . Évalué à -8.
… Si tu dois toi même recopier le code dans leur site pour voir l'effet chez toi, le risque me semble assez limité (à comparer avec exécuter du js par la barre adresse : c'est un bug ça ?!)
(Je dis pas que c'est élégant, je dis pas que ça fait sérieux, mais appeler ça une vulnérabilité…)
(Je dis ça en supposant que quand tu postes le commentaire, ça le fait pas chez les autres !!)
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10. Dernière modification le 11 août 2015 à 17:35.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Avoir un code executable sur un site web...
Posté par octane . Évalué à 2. Dernière modification le 12 août 2015 à 10:11.
en fait, rien
(on peut pas effacer un commentaire?)
[^] # Re: Avoir un code executable sur un site web...
Posté par Marotte ⛧ . Évalué à 4.
Si, pendant cinq minutes et si personne n’y répond dans ce délai. Tu fais « modifier » et tu écris : « Commentaire supprimé par l’auteur. » ;)
Je dois dire que ça m’est déjà arrivé plusieurs fois et que cinq minutes ça passe de toute façon très vite…
La raison pour laquelle il n’y a pas de possibilité d’effacement hors de ce délai de grâce c’est pour qu’on puisse suivre les conversations. On doit modifier le contenu et on ne peut pas supprimer complètement afin de laisser quand même une trace que l’on s’est rétracté, donc qu’on avait sûrement écrit une connerie ;)
[^] # Re: Avoir un code executable sur un site web...
Posté par matthieu bollot (site web personnel, Mastodon) . Évalué à 2.
Évidemment que c'est pas un bug les bookmarklet https://fr.wikipedia.org/wiki/Bookmarklet
ça permet les zerg rush http://james.padolsey.com/cool-stuff/zerg-rush-in-javascript/
# Don't be evil
Posté par Christophe B. (site web personnel) . Évalué à 10.
Don' t be evil qu'il disait …
Je connais oracle depuis longtemps … et malheureusement l'évolution que je vois ne présage rien de bon.
Oracle avait des versions qui durait longtemps 7 .. 8 .. 9 .. et même 10
L'ajout de fonctionnalité a toujours été significatif et profitable
Tu peu encore capitaliser tes connaissances avec oracle, ce tu apprends n'est pas perdu
Jusqu'à récemment la confiance régnait entre cet éditeur et ses clients …
Même si le coût des produits est toujours excessifs, tu peu télécharger la version que tu veux pour l'essayer.
Donc des produits stables, performants, professionels et un éditeur qui vendait TRES cher ses produits mais bon il n'y avait pas d'équivalent et cela ne concernait que les très grosses structures.
Et les charognards sont venus, quelqu'un s'est fait mousser en voulant contrôler ce que les clients avaient acheté et comment cela se passait sur le terrain.
Le piège de la virtualisation s'est brusquement refermé … et cela pouvait faire mal.
Ainsi Oracle a décrété qu'il ne tenait pas compte des processeurs virtuels mais de processeurs physiques et dans le cas de la virtualisation, des processeurs de la ferme de serveurs.
Ainsi un cas classique chez mes clients :
2 proc virtuels pour la VM oracle sur une ferme de 3 serveurs physiques hôtes des quad cores
Oracle lui calcul le prix de sa licence d'utilisation sur les 3 x 4 = 12 cores
au lieu des 2 cores allouées
Beaucoup on virtualisés leurs serveurs physiques, et de manière honnête sans rajouter plus de procs qu'ils n'avait acquis.
C'est venu d'un coup, un client a reçu un lettre, puis un autre. Et pas que des grosses structures non, des PME de 50 à 400 users.
En plus ce genre de "contrôle" est effectué par des sociétés rémunérées au rendement et donc les "ajustements" pouvaient couter très très cher si vous répondiez de manière honnête.
Oracle de bon produits, mais pour combien de temps encore, vu que les versions évoluent au même rythme que chez M$ …
Comme quoi certains évoluent mais pas dans le bon sens …
don't be evil … qu'ils disaient
[^] # Re: Don't be evil
Posté par Renault (site web personnel) . Évalué à 10.
Don't be evil, c'est Google hein. ;)
[^] # Re: Don't be evil
Posté par Christophe B. (site web personnel) . Évalué à 1.
Tout le monde aura compris le concept ;-)
[^] # Re: Don't be evil
Posté par Krunch (site web personnel) . Évalué à 3.
Moi j'ai pas compris.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Don't be evil
Posté par Guillaume Denry (site web personnel) . Évalué à 7.
Bin du coup, non, le concept tombe un peu à l'eau puisqu'Oracle a jamais dit qu'ils seraient pas evil.
[^] # Re: Don't be evil
Posté par Larry Cow . Évalué à 2.
Ils laissent même assez régulièrement supposer le contraire.
[^] # Re: Don't be evil
Posté par Guillaume Denry (site web personnel) . Évalué à 2.
Quelle entreprise ne le fait pas ?
[^] # Re: Don't be evil
Posté par BAud (site web personnel) . Évalué à 10.
hmmm
Tu as PostgreSQL qui suffirait largement la plupart du temps (depuis au moins les v8, même si parfois un peu épique en montée de version…), surtout depuis les v9 bien mieux outillées. D'autant plus, si c'est pour du dév' spécifique et pas pour des progiciels souvent peu manœuvrant sur les SGBDR pris en charge.
PostGIS pour tout ce qui est géographique ne revient pas à une blinde comme Oracle.
Pour tous les autres outils rachetés par Oracle, il y a souvent l'équivalent en libre (voire en Freemium parfois :/) pour des structures de taille moyenne voire dans des grands groupes (j'en ai vu pas mal dans les filiales).
[^] # Re: Don't be evil
Posté par Thom (site web personnel) . Évalué à 4.
Et en plus, on commence à trouver bien plus simplement des personnes avec postgre sur le cv à la sortie d'école / fac / iut qui eux aussi n'ont pas voulu ni raquer ni autoriser l'audit de leur base.
La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick
[^] # Re: Don't be evil
Posté par Kaane . Évalué à 10.
Tu as PostgreSQL qui suffirait largement la plupart du temps
J'imagine que c'est une façon de parler, mais les cas ou PostgreSQL ne suffit pas commencent franchement à se compter sur les doigts de la main d'un manchot.
En analyse statistique le cstore_fdw https://github.com/citusdata/cstore_fdw est tout simplement bluffant d'efficacité.
En geospatial le couple PostGIS/QGIS avec éventuellement GRASS n'a plus grand chose à envier à ArcGIS sur Oracle Spatial. Et si vraiment les quelques outils ArcGIS qui manquent encore à PostGIS sont nécessaires, on peut l'installer sur PostGIS aujourd'hui.
En maintenance/sauvegarde/migration/montée de version, les outils Postgres sont désormais devant les outils Oracle à mon sens. 2nd Quadrant, Entreprise DB et Dalibo ont fait un boulot fantastique au cours des dernières années.
En liaison avec des DB extérieures et fonctionnalités ETL, Postgresql met une pile à Oracle depuis l'arrivée des Foreign Data Wrapper. Et c'est pas l'arrivée de la 9.5 avec les import automatiques de schémas qui va arrangé les chose. Essayez Multicorn…
En granularité des droits : On a pas encore les privilèges par colonne (mais ça arrive en 9.5), mais sinon les réécritures dynamiques de requêtes ou les tables fonctionnelles permettent de limiter grandement les éléments accédés par un utilisateur. Personnellement je préfère - mais ça demande un peu plus de dev.
En ce qui concerne les framework de développement rapide : MWAHAHAHA … Désolé, j'ai pas pu m'en empécher.
Le dernier point ou Oracle a encore un gros avantage sur PostgreSQL c'est sur les clusters actifs/actifs pour des bases de données de plusieurs Go (voire To) sur lesquelles aucun partitionnement n'est raisonnablement envisageable. Mais déjà ça se réduit à chaque version, et ensuite dans le pire des cas il suffit souvent de faire appel à Entreprise DB (ou plus rarement à Citus si vraiment les besoins en I/O sont très élevé) pour résoudre le problème avec un cout de licence sans commune mesure avec Oracle.
[^] # Re: Don't be evil
Posté par Christophe B. (site web personnel) . Évalué à 6. Dernière modification le 12 août 2015 à 11:45.
Juste pour ma culture personnelle : quels sont les équivalents postgresql de rman et expdp s'il te plaît (lien ou au moins le nom) que je potasse un peu
ou un bon tuto sur la sauvegarde de postgresql (physique et logique)
Migration et montéee de version … chez oracle … mmmm … vive l'uft-8
[^] # Re: Don't be evil
Posté par Christophe B. (site web personnel) . Évalué à 1.
Le truc c'est les fichiers WAL et pg_start_backup ?
cela m'a l'air étonnement simple …
[^] # Re: Don't be evil
Posté par Seb (site web personnel) . Évalué à 6.
En équivalent à
rmanpour PostgreSQL tu peux voir du côté debarman(full hot backup, PITR…) => http://www.pgbarman.org/ (dispo dans Debian également).[^] # Re: Don't be evil
Posté par Kaane . Évalué à 10.
Pour rman :
- Backup à chaud intègre cohérent : pg_dump marche bien
- Backup à chaud + transaction en cours simple : pg_rman (des soucis dans le passé, pas eu de soucis avec depuis 2 ans) pg_rman
- Backup à chaud + Physique/logique + transaction : pgbarman - rien à redire, à peine plus complexe à utiliser que pg_rman et beaucoup plus puissant. pgbarman
Pour impdp/expdp :
- Import/export de base : pg_dump/pg_backup Doc Officielle
- Duplication pour dev/analyse/test : pg_dump/pg_backup again avec l'option --serializable-deferrable éventuellement.
- Clone logique : pg_basebackup (pour les clusters) ou pgbarman ou vraiment dans des conditions ultra particulières l'option --oids de pg_dump (Par condition ultra particulière je veux dire que vous êtres en train de développer une extension postgresql et qu'il y a un soucis - généralement dans les fonctions de transfo entre le format interne et le format SQL)
[^] # Re: Don't be evil
Posté par Christophe B. (site web personnel) . Évalué à 7.
Je ne parlais que d'oracle et de ce qu'il était à une époque … et de ce qu'il est en train de devenir.
Il y a beaucoup de choses merdiques même chez oracle … mais le coeur, la base de données, c'est quand même du bon produit.
Postgresql est certainement un excellent produit, je ne l'utilise pas en exploitation.
mais certain éditeur se retranche derrière des Noms et des Marques … sans considération technique
ce que je trouve déplorable et affligeant.
[^] # Re: Don't be evil
Posté par djano . Évalué à 2.
Ce serait moins un problème si le SQL était un vrai standard avec une suite de tests, et pas un truc qui se borne a définit une syntaxe que chaque vendeur décide d’implémenter ou pas.
[^] # Re: Don't be evil
Posté par Christophe B. (site web personnel) . Évalué à 1.
SQL est un vieux truc qui fonctionnent pas trop mal, tout le monde a voulu mettre ses pattes dedans
sans concertation ni logique.
Et il y a tellement de $ en jeu que la norme les éditeurs s'en cognent, ils veulent surtout pouvoir différencier commercialement leurs produits
C'est un peu l'histoire de l'informatique …
[^] # Re: Don't be evil
Posté par djano . Évalué à 2.
C'est surtout qu'un standard qui n'a pas de suite de test ne pourra jamais assurer une quelconque interoperabilité. Par exemple les standards du web ont plutôt bien réussi de ce côté là.
Maintenant je ne connais pas l'historique du standard SQL. Peut être que tous les vendeurs ont fait des pieds et des mains pour empêcher l'arrivée d'une suite de test?
[^] # Re: Don't be evil
Posté par steph1978 . Évalué à 4.
Heu non non, Oracle ils ont jamais dit ça.
Ils sont parti d'une équipe qui a su écrire un bon moteur de gestion de données relationnelles et après il a bien fallu broder autour. ça ressemble plus à l'histoire de MS que de Google.
[^] # Re: Don't be evil
Posté par Marotte ⛧ . Évalué à 5. Dernière modification le 14 août 2015 à 23:19.
Euh… parce que Google ils ne sont pas parti d’une équipe qui a su écrire un bon moteur de recherche et que maintenant… bah… il faut broder autour ?
[^] # Re: Don't be evil
Posté par steph1978 . Évalué à 2.
un peu. mais ils ne vendent pas de logiciel. ils font du service, principalement à base de "human computing".
[^] # Re: Don't be evil
Posté par Marotte ⛧ . Évalué à 1.
Ça change quelque chose de vendre du service plutôt que du logiciel dans ce cas ? Vendre du service basé sur du logiciel c’est vendre du logiciel hein…
[^] # Re: Don't be evil
Posté par LoloB . Évalué à 0.
Je ne veux pas prendre leur défense mais le coup du hard partitionning est bien connu. Il faut en fait utiliser leur solution de virtualisation OVM au lieu de VMWare. Ou rester en physique.
# le gouvernement british en a marre de payer des licences Oracle
Posté par palm123 (site web personnel) . Évalué à 6.
et veut limiter ce coût annuel de 290 millions de £ soit
407,566 millions d'Euros avec une livre à 1,4054 Euro
http://www.theregister.co.uk/2015/08/05/cabinet_office_orders_ukgov_ditch_oracle/
et Oracle envisagerait de changer de modèle de licence
http://www.silicon.fr/oracle-licence-illimitee-perpetuelle-bases-donnees-123782.html?utm_source=2015-08-12&utm_medium=email&utm_campaign=fr_silicon&referrer=nl_fr_silicon&t=184ccc2edccdb8f62fd09ba0d51b5519950310
J'ai appris dans cet article qu'en France, Oracle a perdu des procès face à Carrefour et l'Afpa
ウィズコロナ
# Petite prévision pour l'avenir. Oracle !
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
D'après le titre, j'augure qu'il est question d'un futurologue tendance oracle, qui, avec précognition, intuite l'avenir de demain par prévision du futur qui nous est destiné ? Une sorte de pronostic en vaticination ?
[^] # Re: Petite prévision pour l'avenir. Oracle !
Posté par Sufflope (site web personnel) . Évalué à 10. Dernière modification le 12 août 2015 à 10:24.
Je penche plutôt pour un avatar spontané de Zino ayant percolé le maillage fin de connaissances auto-émergées du substrat cognitif d'internet (après alimentation initiale par le public scient, une fois que le cahier des charges aura été livré) et inférant un arbre décisionnel quantique orienté décrivant sans biais notre futur.
[^] # Re: Petite prévision pour l'avenir. Oracle !
Posté par Christophe B. (site web personnel) . Évalué à 3.
Waaaahhh on dirait du langage de (con)sultant informatique :)
# mise au point chez Oracle
Posté par TuxMips . Évalué à 3.
Faut avouer que c'est quand même assez croustillant.
Visiblement Oracle a fait une mise au point(cf la fin de la news)
# C'est pas Oracle qui s'exprime
Posté par Boa Treize (site web personnel) . Évalué à 7.
Vu le ton de l'article (ultra-personnel, « moi j'ai fait ça ce week-end, et je pense si, et je pense ça »), et vu la réaction d'Oracle (suppression du billet dans l'heure qui a suivi), on ne peut pas dire que c'est Oracle qui s'exprime, mais uniquement Mary Ann Davidson (Chief Security Officer d'Oracle, quand même).
D'ailleurs, l'incroyable manque de professionnalisme du billet me fait m'interroger sur la qualité actuelle des Chiefs Security Officers des grandes multinationales (cf. Sony et les mots de passe stockés en clair sur le PC du chef).
[^] # Re: C'est pas Oracle qui s'exprime
Posté par oinkoink_daotter . Évalué à 6.
Tu peux difficilement tirer des généralités d'un cas particulier. Ici, elle a grave merdé. Y en a d'autres qui ont l'air très bien (genre Alex Stamos, ex CISO de Yahoo et maintenant de Facebook).
[^] # Re: C'est pas Oracle qui s'exprime
Posté par CHP . Évalué à 10.
Je suis à la fois d'accord et pas d'accord.
D'accord, parce que y'a rien à redire, c'est effectivement pas de la comm officielle oracle. Y'a pas à chier.
Pas d'accord, parce qu'il s'agit d'un post d'un haut responsable d'Oracle, sur un site officiel oracle (blog.oracle.com), et qu'il l'a bien écrit en tant qu'employé Oracle (pour être plus clair : c'est pas Mary Ann Davidson qui s'exprime, mais bien le Chief Security Officer d'Oracle - meme si c'est la meme personne).
[^] # Re: C'est pas Oracle qui s'exprime
Posté par Foutaises . Évalué à -2.
Ça m'a fait rire, parce que j'avais en tête cette image rigolote qui circulait sur le Web il y a quelques temps, et qui ironisait sur le fait qu'une femme ne savait pas prendre une photo d'un sujet sans se placer dans le cadre, tout ceci couplé à cette tendance exacerbée et typiquement féminine au narcissisme virtuel.
Hé bien du début à la fin de la lecture, j'étais en train de me dire « mais qu'est-ce qu'on en a à secouer ?! ». :-D
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5. Dernière modification le 12 août 2015 à 22:19.
Ce commentaire a été supprimé par l’équipe de modération.
# Dommage
Posté par cluxter . Évalué à 3.
C'est dommage que tu n'aies pas prit la peine d'évoquer davantage le reste de ses propos.
Il dit notamment ceci :
Traduction :
Il faut bien admettre qu'il a raison dans un certain sens. Ceci étant dit, vouloir empêcher les gens de chercher des failles de sécurité, c'est reconnaître ouvertement et de façon complètement stupide que leurs produits sont troués (comme tous les logiciels) et qu'ils ont peur de ça. Et je vois d'ici l'effet Streisand arriver.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.