Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de Sam_from_MS :
- [20/08@16:38] Petition pour libérer Main Actor
- [19/08@10:16] PC Magazine et test de Windows Vista
- [18/08@11:21] Accord Xandros/Microsoft sur Scalix
- [11/08@06:27] Novell Propriétaire d'Unix et d'UnixWare ?
- [10/08@11:00] MainActor n'est plus :(
- [10/08@07:29] Sortie de OpenSuSE 10.3 Beta 1, explication du patron de Novell sur le Deal avec Microsoft
- [09/08@11:14] Quelques nouvelles en bref de SuSE/Novell
- [08/08@10:31] Electronics Corporation of Tamil Nadu Choisi SuSE Linux Enterprise pour plus de 30 000 postes
- [08/08@07:02] Wyse ajoute le support de SuSE Linux dans ses produits
- [08/08@06:58] Dell va proposer deux portables sous Ubuntu en Europe. D'autres portables avec SuSE à suivre
- [07/08@05:47] Lenovo va commercialiser des PC Portables sous Linux
- [04/08@11:12] MoneyDance 2007 : logiciel de comptabilité complet pour Linux
- [04/08@09:57] Nero Linux 3, qu'en pensez vous ?
- [31/07@10:29] Microsoft l'emporte en Chine
- [26/06@16:03] 01 Informatique : est ce que cet hebdomadaire est de qualité ?
- [12/06@12:13] Des jeux Linux pas trrès connus
- [20/05@07:44] La Démo de Penumbra : Overture disponible sous Linux
- [17/05@12:52] Le jeu Ballistics bientôt disponible sous Linux
- [08/05@06:46] 8 Mai : c'est férié où à part en France ?
- [06/05@07:10] Sondage chez les utilisateurs d'OpenSuSE
Journal : Bench de la sécurité des différents systèmes d'exploitation en Juillet 2007
Posté par Samuel Pajilewski () le 22 août 2007Vu sur OSNews. Ce que l'on peut en tirer :
- Les OS Microsoft sont largement plus sécurisés que les autres, que ce soit au niveau Desktop ou Serveur
- Linux et Mac OS X sont presque aussi mauvais
Attention cependant, Microsoft Windows est livré avec un nombre d'applicatifs bien moindre que RHEL 4/5 ou SLES 10
http://blogs.csoonline.com/methodology_sources_and_assumptio(...)
Par contre, la moyenne du nombre de jours dis risqués (découverte de faille sans correction) est plus équilibrée :
http://blogs.technet.com/security/archive/2007/06/18/2006-cl(...)
http://blogs.technet.com/security/archive/2007/06/15/2006-da(...)
> Lire le journal (33 commentaires, moyenne: 2,8).
Et la tradition !
On est pas vendredaï !!
Bon il émane de qui ce truc...
On vous ment! Mais pas moi...
-
[^]Re: Et la tradition !
Explication
Pour ceux qui, comme moi, sont étonnés par le résultat du bench, il faut savoir que celui-ci est basé sur le nombre de vulnaribilité fixé cet année et ces trois derniers mois. Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.
-
[^]Re: Explication
Posté par nats (Jabber id, page perso, ) le 22/08/2007 à 10:39. (lien). Évalué à 4.Tiens c'est bien ce que j'était en train de me dire en essayant de me convaincre qu'ils avaient pas osés...
Les seuls tests "parlant" sont les temps de réaction entre 0 Day et Patch officiel.
Parce que la découverte des failles dépend de trop de choses...--
On vous ment! Mais pas moi...
-
[^]Re: Explication
Posté par Victor STINNER (page perso, ) le 22/08/2007 à 11:16. (lien). Évalué à 8.« En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft. »
Disons qu'une distribution Linux c'est 10.000 paquets alors que Windows c'est 1 noyau et (je dis au pif) une centaine d'applicatifs. Comparons ce qui est comparable !
Les distributions Linux corrigent de nombreuses failles dans des applications qui ne sont pas installées par défaut.
Cette analyse est totalement biaisée.-
[^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 17:00. (lien). Évalué à 1.http://blogs.csoonline.com/methodology_sources_and_assumptio(...)
UPDATE 03/29/2007] Ubuntu 6.60 LTS. Stats for Ubuntu will include the default client installation software (not the server CD), excluding packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird.
[UPDATE 03/29/2007] Novell SLED10. Stats for SLED 10 will include the default set of packages, excluding packages that do not have equivalents on Windows, such as gimp, ImageMagick, mono and openoffice.
Red Hat Enterprise Linux 4 AS (rhel4as). Stats for rhel4ws will include only the minimum required installation group packages, plus the package groups necessary to build basic server configurations: file server, print server, network server, and basic web server. X-Graphics, Gnome, Firefox, OpenOffice, Sound-n-Video and other optional packages are explicitly excluded from analysis in order to grant Red Hat the benefit of the doubt for its modularity. MySQL is also excluded since Windows Server does not ship with SQL Server included.-
[^]Re: Explication
Posté par fleny68 () le 22/08/2007 à 20:12. (lien). Évalué à 2.packages that do not have equivalents on Windows, such as bittorrent, evolution, gimp, openoffice and thunderbird
windows est plus livré avec outlock express ?--
Non, rien-
[^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 20:19. (lien). Évalué à 1.Peut-etre qu'il a utilise un autre soft comme client mail ? (KMail ? )
-
-
-
-
[+] [^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 17:02. (lien). Évalué à -1.Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
En plus, ils oublient par magie que le système de corrections des distributions est universel a tout les logiciel, quand Microsoft ne corrige que Microsoft.
Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.-
[^]Re: Explication
Posté par brigitteBardot () le 22/08/2007 à 19:09. (lien). Évalué à 1.Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
Hum, il parle de vulnerabilitees corrigees, imagine une systeme (au hasard windows vista) qui a 1000 vulnerabilitees, dont 10 corrigees, et un autre (au hasard debian gnu/linux) qui a 10000 vulnerabilitees, dont 9999 sont corrigees.. Quizz, quel est le systeme qui a le plus de vulnerabilitees? et quel est le systeme le plus securisé?-
[^]Re: Explication
Posté par Beuss () le 22/08/2007 à 19:30. (lien). Évalué à 2.Tu peux encore affiner en disant imagine un système (au hasard Windows Vista) qui a 1000 vulnérabilités connues (sur 10000 réelles) dont 10 corrigées et un autre (au hasard Debian GNU/Linux) qui a 10000 vulnérabilités connues (et 5000 inconnues) dont 9000 sont corrigées.
Parce que bon, une faille ça existe aussi avant qu'on la découvre...
-
[^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 19:41. (lien). Évalué à 0.Ouaip, le probleme etant que Windows n'a pas 990 vulnerabilites non corrigees, ce qui fait que la comparaison est valable dans ce cas ci.
-
[^]Re: Explication
Posté par brigitteBardot () le 22/08/2007 à 19:50. (lien). Évalué à 2.Plus il y a de vulnirabilités qui ont été corrigé, plus la sécurité dudit système d'exploitation est considéré comme faible Oo.
Autant dire qu'il y a un sérieux, très sérieux problème de logique.
Non c'est tout a fait logique. Plus il y a de vulnerabilites, plus ton systeme a eu de failles.
Oui je sais, les chiffres etaient des exemples fictifs pour illustrer que tu avais tort, tu peux remplacer windows par linux dans ce que j'ai dit si ca te chante, mais toujours est il que Ce n'est pas logique que la securité d'un systeme soit mesuree a partir du nombre de failles corrigees, comme mon exemple, et l'exemple suivant l'illustrent.-
[^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 20:15. (lien). Évalué à 1.Dans le cas present c'est tout a fait valide vu que les 2 systemes patchent toutes les failles, resultat cela revient a comparer le nombre de failles.
Alors oui on peut chipoter et dire qu'en absolu c'est pas la meme chose, mais dans le cas present, oui c'est la meme chose.-
[^]Re: Explication
Posté par brigitteBardot () le 22/08/2007 à 20:28. (lien). Évalué à 1.Et tu m'explique comment on fait pour patcher une faille non connue?
-
[+] [^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 20:49. (lien). Évalué à -1.Si elles ne sont pas connues on ne les patche pas evidemment, mais fort est ce constater que des failles non connues il y en a ou peut y en avoir dans les 2 systemes, bref ca s'equilibre.
-
[^]Re: Explication
Posté par Victor STINNER (page perso, ) le 22/08/2007 à 23:14. (lien). Évalué à 4.Le code source des logiciels libres étant public, n'importe qui peut l'auditer. De nombreux bugs mineurs et inexploitables sont corrigés de cette manière. Au contraire, quand Microsoft publie un bulletin de sécurité, seuls les failles critiques et exploitables sont notifiées. J'ai bien l'impression que de très nombreux bugs (failles inexploitables) sont marqués comme « faille de sécurité ». Je le sais car je suis à l'auteur de quelques bulletins de sécurité.
-
[^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 23:35. (lien). Évalué à 1.Le code source des logiciels libres étant public, n'importe qui peut l'auditer. De nombreux bugs mineurs et inexploitables sont corrigés de cette manière. Au contraire, quand Microsoft publie un bulletin de sécurité, seuls les failles critiques et exploitables sont notifiées. J'ai bien l'impression que de très nombreux bugs (failles inexploitables) sont marqués comme « faille de sécurité ». Je le sais car je suis à l'auteur de quelques bulletins de sécurité.
Tu regardes le graphe des vuln. et tu verras que simplement en gardant les vulnerabilites severes, Linux en a plus.
Quand a marquer des bugs simples comme failles, autant je peux imaginer que certains auteurs de softs le fassent, autant j'ai enormement de mal a imaginer Redhat faire ca, notamment car ils ne vont certainement pas forcer leurs utilisateurs a upgrader leurs softs(et tous les tests que cela signifie) pour un simple bug.
Si Redhat/Suse/... sortent un patch de securite, c'est qu'il y a un reel risque, tout comme chez MS.
-
-
-
-
-
-
-
-
[^]Re: Explication
Posté par louie (Jabber id, ) le 22/08/2007 à 19:52. (lien). Évalué à 1.>>Gni ? Il compte les patchs que Redhat distribue pour Redhat, qu'Ubuntu distribue pour Ubuntu, il ne les additionne pas tous ensemble.
Je pense que ThesmallgamerS voulait dire c'est que windows ne corrige que les failles du système d'exploitation et de ses logiciels quand les distributions corrigent les failles qui existent pour _tous_ les logiciels (il n'y a pas qu'un navigateur internet, un lecteur vidéo, ... ce qui complique la tâche).-
[^]Re: Explication
Posté par pasBill pasGates () le 22/08/2007 à 20:17. (lien). Évalué à 1.Ben si il avait lu la methodologie employee il aurait vu qu'il y a 2 graphes : un avec tous les elements de la distrib, et un autre avec uniquement les elements qui ont un equivalent dans Windows.
-
[^]Re: Explication
Posté par Nicolas Boulay () le 23/08/2007 à 09:08. (lien). Évalué à 3.La seul variable ayant un sens, c'est la fénètre de vulnérabilité entre le 0 days et la sortie de patch.
-
[^]Re: Explication
Posté par Thomas Douillard () le 23/08/2007 à 15:59. (lien). Évalué à 1.Pas forcément, tu peux compter genre aussi en jours de vulnérabilité, genre "nombre de failles" * "fenetre de vulnérabilité"
Parce que entre une faille corrigé au bout de 3 jours et 10 failles corrigées au bout de deux, il faut bien un indicateur aussi.
-
-
-
-
OSNews
Citons OSNews (ainsi que de nombreux experts) :
Hence, these reports are not proper measurements of security - they are just that, a tally of fixed vulnerabilities. Any conclusions like "x is more secure than y" cannot be drawn from this data set.
Traduction (à peu près) :
Ainsi, ces rapports ne sont pas des mesures valables de la sécurité - ils comptent simplement les vulnérabilités corrigées. On ne peut pas tirer de ces données une conclusion comme "X est plus sécurisé que Y".
Alors bravo pour le lancer de trolls, mais sache que pour un bon lancer de troll, il ne faut pas mettre de sources (même sans liens).
Infos sur heise security
Cet article fait suite à un article publié en Juin :
http://www.heise-security.co.uk/news/91593
Plus d'information sur l'article de Jeff :
http://www.heise-security.co.uk/news/94657
Il me semble que Jeff Jones soit employé par Microsoft mais je n'en suis pas sûr.
-
[^]Re: Infos sur heise security
Posté par Marc Poiroud (Jabber id, page perso, ) le 22/08/2007 à 11:39. (lien). Évalué à 4.Il est employé de Microsoft.
Jeff Jones is a Security Strategy Director in Microsoft’s Trustworthy Computing group.
http://blogs.csoonline.com/user/jeff_jones--
La chanson est une industrie parce qu’une poignée d’imbéciles a réussi à être moins con que le reste.
(Coluche)-
[^]Re: Infos sur heise security
Posté par SubBass () le 22/08/2007 à 12:26. (lien). Évalué à 3.Et le site Technet.com qui héberge le blog de ce monsieur est un site de Microsoft...
Bref, circulez y'a rien à voir.-
[^]Re: Infos sur heise security
Posté par nats (Jabber id, page perso, ) le 22/08/2007 à 12:34. (lien). Évalué à 3.Bref, circulez y'a rien à voir.
Sisi ! un tas de ramassis de counasseries ^^--
On vous ment! Mais pas moi...
-
[^]Re: Infos sur heise security
Posté par pasBill pasGates () le 22/08/2007 à 17:05. (lien). Évalué à 4.C'est a prendre avec des pincettes et a analyser oui vu que cela ne vient pas d'une source impartiale.
Le rejeter totalement sans le lire c'est un peu trop facile par contre.-
[^]Re: Infos sur heise security
Posté par Nicolas Boulay () le 23/08/2007 à 09:33. (lien). Évalué à 2.Juste une remarque. Certe pour une fois, il n'y a pas addition de 30 fois le même bug pour toute les distributions cumulés. Chaque distribution est prise séparement.
Mais dois-je comprendre, qu'il ont aditionner les bugs des différentes versions d'une même distribution ?-
[^]Re: Infos sur heise security
Posté par pasBill pasGates () le 23/08/2007 à 13:49. (lien). Évalué à 1.Il me semble pas, pourquoi ?
-
-
-
-
Gni :/
En gros, moins on patch un système, et plus il est sécurisé :) ? Super logique ca.
-
[^]Re: Gni :/
Posté par Ph Husson (page perso, ) le 22/08/2007 à 22:56. (lien). Évalué à 3.Donc MultiDeskOS est l'os le plus fiable au monde, donc apparement la logique est confirmée.
(pas taper)
Cette page a été générée par Templeet en 0.1315s (dont 0.0262 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.