> Si toutes les partitions sur lequel un utilisateur peut écrire sont montées en
noexec, c'est déjà un premier pas.

Bha il ecrira son code en Perl :-)

> devenir root.

Dans une configuration ordinaire c'est perdu.

Autrement ce que tu cherches a faire c'est du SELinux, utiliser le module RBAC de grsec ou creer une police MAC pour FreeBSD. Tous permettent d'outre passer l'idée du root tout puissante d'UNIX et de limiter les actions des acteurs dans le système.

Et bien entendu en cas de faille noyau c'est game over dans tout les cas.

Le point critique de ton truc est "Comment je fais les mises a jour" ? Si on peut reproduire l'attaque pendant la mise a jour ca n'a que peu d'interet. Il est aussi a reflechir si le cout impliqué n'est pas superieur a avoir un master que l'on replique periodiquement ou quelque chose du genre (on parle de postes clients la non ?).

[ Répondre ]

> contre la qualité du code

C'est pas la qualite du code que je critique j'ai pas lu le code !

Le post precedant etait bete et mechant, ca marche pas c'est mal. J'ai pas cherche d'ou ca pouvait venir.

[ Répondre ]

> ro pour les partitions binaires

Si tu choppes le root ou faille noyau ca sert a rien. On retourne a la case depart puisqu'il fallait deja le root pour modifier les binaires installés

> noexec sur les partitions home

noexec est une vaste blague sur les 2.4, sur les 2.6 ca a un peu changé et on peut enfin empecher l'execution de fichiers binaires (il reste toujours les interpreteurs)

> rw pour la partion binaire lors d'une install, aprés reboot

Donc il suffit d'attaquer a ce moment la. Donc il faut rendre impossible cela, donc ca devient ultra super lourdingue.

> Avec effectivement deux noyau

Ca sert a quoi concretement ? Si tu peux prendre la main sur l'un tu peux prendre la main sur l'autre...

[ Répondre ]

> S'arranger pour que tous les binaires soient sur une partition séparée sur laquelle le noyau aurait perdu définitivement les droits d'écriture.

Le noyau ne peut pas perdre les droits d'ecritures. Si tu as le controle sur le noyau tu peux lui rajouter le code necessaire pour ce que tu veux.

Tu peux a la limite utiliser la technique des BSDs (ou grsec) pour augmenter la difficultee technique de la chose

1/ interdire /dev/mem et /dev/kmem (pas de bol X marche plus :-)
2/ interdire l'access brute aux disques

> impossible

En sécu impossible je connais pas désolé.

> je ne vois pas de problèmes majeurs. Si vous en voyez, je suis
preneur.

Moi ce que je vois c'est que tu balances une idée en l'air sans en comprendre les tenant et les aboutissant. Quand on propose une idée en sécu on a pour habitude de faire quelques trucs basiques comme.

1/ présenter le problème de manière générale
2/ Présenter notre solution
3/ Présenter techniquement en quoi notre solution resoud le problème (et les problèmes qu'elle peut apportée)

Présente au moins *un* cas précis de manière technique ou ta solution apporte quelque chose, hormis de grandes idées et ca aura peut etre un interet.

Au fait, il se passe quoi si l'archive telechargée est pas la bonne ? Ou puisque tu vas ecrire a un moment cette archive toute personne avec les droits suffisant pourra y ecrire aussi... Enfin y'a d'autres idees comme ca

[ Répondre ]

On s'en fou que firefox leak ou pas. Il plante et ce n'est pas accetable. Serieusement depuis la 9.3 la qualite commence a retomber (en esperant que en revienne pas au debut de mozilla :-) et sur mes deux machines il n'a jamais survecu a plus de 48h d'utilisation; et oui *utilisation* pas uptime qui ne veut rien dire.

Ce n'est pas ce que je considere comme un bon logiciel, c'est le truc qui plante le plus sur ma machine...

Note: plugins adblock mousegesture & thumbs

Note 2: si les plugins sont dispo sur la page de mozilla ils ne doivent en aucun cas faire planter le navigateur; le plugin n'est pas une excuse, c'est une partie du logiciel.

[ Répondre ]

En même temps si msn avait vraiment indexé le cache de google tu penses pas que les 5 et quelques milliards de requetes seraient pas passées super inappercues par les admins de google et qu'ils auraient agit en consequence ?

De plus si on sait indexer le cache de google je vois mal pourquoi on saurait pas indexer le contenu original (une explication ?). Ce qu'il serait interessant d'avoir est la db brute de google mais la faut m'expliquer (encore je suis un peu bete) comment tu peux l'extraire de l'interface web.

[ Répondre ]

Oui et dans ce cas tu n'as pas un etat coherent des boites entre tout les points ou tu reveles ton courrier, donc c'est ce que je disais au dessus tu es obligé de marquer les messages comme lu sur tout les postes ou tu releves, quand tu as plus 60 mails par jours (autrement quoi sert ton gigo ?) ca devient un tantinet lourd.

Ce qui est surtout enervant c'est que les utilisateurs commencent a en avoir leur claque des logiciels/protocoles mal foutu et utilisé alors que des solutions adaptées existent (même si il ne le savent pas). Comment se fait-il qu'il n'y ait pas de solution simple type imap, type webdav (ou autre) pour gerer son calendrier et ses contacts. Pourquoi on doit toujours duliquer toujours toutes ses configs et documents ?

L'utilisateur ne dit pas je voudrais de l'imap ou du webdav non il ne sait meme pas ce que c'est. Mais en ecoutant les gens qui "consomment de l'informatique" y'a des problematiques simples a resoudre, qui s'ennoncent tres clairement mais en 2004 on traine toujours des trucs lourdingues dans les services de masse... On arrive a des débits raisonables et l'utilisation du reseau reste figée !

[ Répondre ]

Enfin l'utilisateur de base il a un peu de mal a comprendre pourquoi quand il releve ses messages sur 2 postes differents (boulot maison par exemple) les messages ne sont pas les meme, bin oui tu les a vires du serveur en les relevant...

Et si tu les laisses sur le serveur il faut les marquer comme lu deux (trois avec le webmail) fois. Donc tu sais jamais ce que tu as lu ou pas. Ca fait aussi 3x plus de spam a virer...

Pour l'utilisateur lambda et meme tout le monde, l'imap est beaucoup plus simple et permet d'arreter de perdre du temps. Ou que tu sois tu sais ce que tu as fais et fini les "Mes messages arrivent pas au boulot" comprendre y'a le client a la maison qui pop en meme temps :-)

[ Répondre ]

> Tant qu'on y est, je n'arrive pas à modifier les tags à partir de rb alors que c'est possible avec xmms :(

Ce n'est pas possible actuellement. La demande a souvent ete effectuee sur le bugzilla. L'argument avance dans le passe etait que c'etait impossible a cause de gstreamer mais il me semble que la branche actuelle resoud ce probleme.

Enfin c'est quand meme ridicule qu'un logiciel reposant entierement sur les tags ne propose pas de pouvoir tagger facilement...

http://www.rhythmbox.org/faq.html(...)

[ Répondre ]

> Nombre de fois, ou je lis du code de devel qui ne check pas les accès ressources, c'est un peu reloud, et pourtant, ça se dit grand devel.

Des pointeurs sur le code incriminé ? Autrement c'est une affirmation gratuite

> des bugs énormes commencent à être trouvé dans le code.

Les bugs ne sont pas si enormes que ca puisque c'est toujours le meme mec d'isec qui les trouve... Donc soit y'a que lui qui lit le code soit....

> que les logiciels libres ne sont pas si sécurisé et si stable qu'il l'était avant

Naaaaaan les defenseurs du LL decouvrent que le code n'est pas vierge de tout bug, n'est pas secure de la mort (regardez le nombre d'adviso apache :-) et qu'il ne faut pas vendre ce qui n'existe pas. Les systemes libres tout comme l'informatique se complexifient a une vitesse folle. La ou on pouvait coder tout seul dans son garage et tout maitriser il y a quelques annees on en arrive a de gros projet impliquant des milliers/millions de lignes de code avec des dependances dans tout les sens.

Et le LL ne favorise pas du tout une bonne conception des applis, vu que les mediums pour en discuter ne sont pas reellement adaptes (rien de pire qu'irc !).

> Si il est beau, bien conçu, il ne sera jamais oublié.

Un logiciel qui fait son boulot n'est pas oublie, autrement il disparait rien de plus rien de moins.

[ Répondre ]

> n'est-il pas moyen de créer un outil permettant d'auditer du code ?.

SWAT... (d'ailleur si tu lisais lkml ou hackers au lieu de troller ici et sur irc tu aurais deja remarque qu'ils postent assez regulierement les problèmes qu'ils trouvent).

Enfin croire qu'un tel outil va corriger tout les trous c'est croire au pere noel. Tu penses pas que si c'etait possible ca se saurait depuis tres longtemps et on serait tous au chomage.

Tu sais même sur les projets type spacial, avec de la preuve formelle sur de petit bout du code et du soft redondant (tu pars des memes specifications et tu as deux implementations) etc. on arrive encore a faire exploser des fusees. Alors penses tu pour un ouvrage de la taille d'une distrib.

De même a cours terme aucun outil ne te diras que tu as mal verifier la valeur de retour d'une fonction en C. Les excetions sont beaucoup moins casse geule de ce côte la...

On peut auditer automatiquement sur des choses plus ou moins triviales, en userland on peut facilement detecter les erreurs memoires, en kernel land on peut assez facilement detecter les erreurs de mutex. Pour le reste...


Pour tes grands conseils sur les devels en carton regarde du cote de FreeBSD. Le dernier adviso, syscons, si tu cherches qui a commis la bourde tu tombes sur ce commit : http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/dev/syscons/syscons.c(...) regarde son auteur tu verras que c'est loin d'etre un con. L'erreur est humaine. De plus quelqu'un avait lu son patch puisque le commit d'apres est juste un s/0/NULL donc il n'avait pas vu le probleme non plus. Phk etait aussi passe sur le fichier 20 jours apres.... D'ailleur donne moi ton code je suis sur qu'en cherchant je trouve des choses sympas !

[ Répondre ]

Ce n'est pas seulement pour retrouver l'astuce alakon d'il y a un an. Ca c'est pas "tres" grave. Hier j'ai trouvé un projet tres bien, nommé Jaxe (un editeur XML). Par contre je le trouvais pas tres au point et j'y aurait bien fait 2/3 modifs.

Je choppe les sources (en Java) et la : pas de doc du code ni de l'archi, code en franglais. Et bien c'est simple je vais pas passer 2 mois a essayer de comprendre comment ca marche donc ils ont peut etre perdu un contributeur....

Si on veut que des gens rejoingnent un projet faut s'en donner les moyens, mais y'a pas grand monde de motivé pour comprendre a quoi servent les 250 classes du projet et comment tout ca fonctionne.

[ Répondre ]

La glib est interessante mais ne s'adresse pas du tout au même publique ! De plus si tu n'as pas envie de reinventer la roue a chaque fois... ne code pas en C :-)

Je parle uniquement de remplacer des fonctions de merdes (contre intuitives, pas optimisée etc) par des fonctions qui font la même chose mais qui sont intuitives donc secure !

C'est un des gros problème de la libc elle porte trop le poid de son histoire pour être utilisable de manière agréable.

[ Répondre ]

C'est quoi un break hormis un goto avec du sucre syntaxique qui permet d'avoir un label implicite ?

Si tu pars sur le "goto bark caca" faut aussi virer le break et le continue pour être cohérent. Donc tu dois toujours faire de joli boucle avec des boolean pour gerer les conditions d'arret et mettre de joli if pour le continue.

Pour faire du traitement d'erreur dans un langage ne disposant pas d'exception je suis désolé mais je vois pas plus propre/lisible que les goto (cf linux par exemple).

Je connais pas python par contre ce qu'ils proposent m'a l'air interessant je vais aller voir.

[ Répondre ]

Non il vaut mieux utiliser les fonctions strlcpy et strlcat : http://www.courtesan.com/todd/papers/strlcpy.html(...)

C'est bizarre la glibc si prompte a ajouter des extensions non standard dans tout les sens d'habite n'a toujours pas pensée à celles ci... Pourtant des fonctions de manipulation de chaîne de caractère non trompeuses et faciles a utiliser ca changerait dans la libc !

[ Répondre ]

> Je préfère finir ma course dans un champ plutot que dans un camion sur la file de
gauche.

Je n'ai pas parler d'accidents mais d'accidents graves c'est a dire d'accidents qui ont entrainé l'hospitalisation d'au moins une personne pendant au minimum 6 jours.

http://www.route.equipement.gouv.fr/RoutesEnFrance/savoirplus.htm(...)

Pour ce qui est des tués les autoroutes representent 7,2% des tues alors que les nationales et departementale 75%. Il faut bien sur ajuster ces chiffres au kilometrage total et au kilometrage parcouru sur ces routes. Et la seconde partie n'est pas triviale a faire. Enfin moi pour faire 900 bornes dans la journée je sais ou j'ai le plus de risque de me planter sans hésitation....

http://www.securite-routiere.gouv.fr/IMG/Synthese/dep_accidentologi(...)

[ Répondre ]

> Bon, déjà,il y a trop de paranthèses dans ton texte. C'est choquant.

Bouarf je code en scheme ca me choque pas perso.

[ Répondre ]

Tu sais même les gens bien disent des conneries. D'ailleur statistiquement même eux doivent en dire plus que de choses inteligentes.

Pour être un peu serieux replace toi dans le contexte de l'époque... "Le goto c'est le mal" est une approche aussi stupide que d'en foutre partout et de produire du code incomprehensible. C'est un outil pratique qu'il faut utiliser avec justesse.

[ Répondre ]

Ca ne me semble pas la vonloté qui manque c'est simplement le nombre de devels, comme pour presque tout les defauts actuels de sourcemage. C'est une distrib qui part sur un super principe, il est très simple de s'impliquer dans le projet, comprendre comment marche le système de packaging et faire ton premier spell ne doit pas te prendre plus de 2h.

Bref quand un devel ne sera plus obligé de maintenir 250 softs, quand il y aura plus de 3 personnes pour faire remonter les bugs sur les applis autres que KDE/Gnome/Xchat/bash & co le problème sera résolu.

En effet la 1.0 peut être un tournant si l'annonce de la sortie arrive a injecter assez d'utilisateurs pour repartir sur un "cycle vertueux" plus d'utilisateurs => plus de qualité => plus d'utilisateurs. Pour le moment, quoi qu'on a vu quelques nouvelles têtes sur #sourcemagefr depuis la sortie de la nouvelle ISO, on reste à un nombre de personne gravitant autour du projet trop faible pour passer a l'étape suivante... avis aux amateurs !

Il me semble que plus ca va plus les petites distros s'ecroulent sous la complexité de ce qu'est devenu linux. Quand on voit que maintenant même la stabilisation du noyau est laissée en charge aux distribs j'ai un peu peur pour l'avenir.

[ Répondre ]

> J'adore les gens qui se permettent de parler sans savoir ;)

Regarde le nombre de bug/patch que j'ai soumis. Tu peux aussi grepper ton /var/lib/sorcery je suis sur que tu me trouveras dedans... Donc le sans savoir tu peux repasser.

> disons que c'est une distribution source, qui part donc de sources fournies

Zut on se demande pourquoi on applique des patchs pour ameillorer les choses. Je me demande aussi pourquoi je me fais chier a faire des configurations par defaut qui juste marchent. Pourquoi il me faut souvent 3 jours pour tester toutes les dependences d'un spell (non trivial) pour être sur de ne pas foutre la merde.

Être une distrib source n'est pas une excuse pour ne rien foutre au niveau du packaging. Tu es au courant que sourcemage ne gere meme pas les ACLs ? On parle de SELinux alors que j'ai pas vu le debut de polices coherentes. Tout ca ca se nomme l'integration et c'est justement le boulot des distros. Quand je vois que les spells gnome ne gerent meme pas les types mimes alors que 2.8 est tombé dans stable je suis vraiment mort de rire quand a ta vision de ce que doit faire une distro source....

Je ne parle meme pas de la branche stable d'smgl qui est plutot une farce vu qu'il n'y a aucune QA derriere.

Note : nmap 3.76 iz out depuis 3 jours et se baser sur les 10 applis le plus utilisée c'est un peu facile :-)

> M'enfin, ça n'est peut-être qu'une impression...

Exemple débile, je fais 5 a 10 FPS de plus a ET sous FreeBSD alors que ca tourne en emulation binaire linux...

[ Répondre ]