L'OpenSource dynamise la sécurité

• # enfin...

  Posté par swix le 20 février 2002 à 01:13. Évalué à 10.

  

  ...peut-etre que comme ca on aura finalement un proftpd et wuftpd sans trou de sécurité à répétition :-)
  
  Swix, qui en a marre de devoir mettre à jour ses proftpd's tout le temps... (comparé à qmail-1.03 par exemple: pas un seul probleme depuis 4 ans!)

  • [^] # Re: enfin...

    Posté par kael le 20 février 2002 à 11:24. Évalué à 4.

    

    si je puis me permetre une suggestion un peu hors sujet quoi que...
    enfin tout ca pour dire que pureftpd marche tres bien permet de faire du monitoring, du controle d'upload-download,du ftp securisé, tout ca ... et il a pas de trou de securitée
    http://pureftpd.sourceforge.net(...)
    voila

    • [^] # Re: enfin...

      Posté par kalahann le 24 février 2002 à 12:10. Évalué à 1.

      

      et il a pas de trou de securitée
      
      Non: On ne lui connait pas de trous de sécurité, nuance ;)

  • [^] # [HS] QMail

    Posté par Foxy (site web personnel) le 20 février 2002 à 11:56. Évalué à 2.

    

    "comparé à qmail-1.03 par exemple: pas un seul probleme depuis 4 ans"
    
    C'est vrai que Qmail n'a pas de problèmes de sécurité depuis 4 ans et que c'est un super serveur de mail. Mais on peut critiquer l'attitude de son développeur principal DJ Bernstein, qui refuse le nombreux patchs utiles à inclure dans les sources de Qmail. C'est aussi pour cela que Qmail n'a pas de "trous" de sécurité !!! Pas de modifs des sources officielles ==> pas de problèmes de sécurité !!!

    • [^] # Re: [HS] QMail

      Posté par swix le 20 février 2002 à 20:26. Évalué à 1.

      

      oui c'est sur que le comportement de DJB ne convient pas à tout le monde, mais c'est son choix, et du moment que ses programmes fonctionnent convenablement, pourquoi pas... Ca n''empeche pas l'existance de dizaines de patches.
      
      Quant à pureftpd, est-ce que le support sql fonctionne bien? J'etais resté à propftpd justement en raison du support sql.

      • [^] # Re: [HS] Proftpd

        Posté par MagicNinja le 21 février 2002 à 11:04. Évalué à -2.

        

        > J'etais resté à propftpd justement en raison du support sql.
        
        Qu'appelles tu 'support sql' ? La possibilite de gerer les utilisateurs et leurs droits via une base ?

        • [^] # Re: [HS] Proftpd

          Posté par swix le 21 février 2002 à 11:30. Évalué à 1.

          

          exactement. sous proftpd avec mod_sql...

          • [^] # Re: [HS] Proftpd

            Posté par MagicNinja le 21 février 2002 à 13:35. Évalué à -2.

            

            et ca ne ralentit pas trop le temps de connexion ?
            par exemple sur un serveur tres sollicite comme pour des hebergements ?

    • [^] # [HS] QMail

      Posté par kalahann le 24 février 2002 à 12:12. Évalué à 1.

      

      Pas de modifs des sources officielles ==> pas de problèmes de sécurité !!!
      
      Argh... Pas de nouveaux trous de sécurité causés par l'introduction de bugs dans les patchs.
      Il y a des trous de sécurité dans Qmail! On ne les connaît pas, c'est tout...

• # Libre = sécurité

  Posté par Pierre Jarillon (site web personnel) le 20 février 2002 à 02:49. Évalué à 10.

  

  C'est l'image qui se répand inexorablement dans les médias et les entreprises.
  Je pense que dans deux ans, on riera au nez de toute personne qui présentera un dispositif de sécurité basé sur du code fermé.

  • [^] # libre = méthodes = sécurité améliorée

    Posté par Jul (site web personnel) le 20 février 2002 à 03:40. Évalué à 10.

    

    Le code ouvert ne suffit pas.
    C'est avant tout un problème de méthode, de coopération et de code de conduite qui font que la sécurité peut exister.
    
    C'est bien beau de n'utiliser que ssh pour se connecter, il ne faut pas cependant écrire son mot de passe sur un post-it à coté du terminal.
    
    c'est de plus en plus une question de méthode parce qu'il s'agit de penser globalement, d'apprendre, de s'adapter et de moins en moins une question de technique pure.

    • [^] # Re: libre = méthodes = sécurité améliorée

      Posté par vjm le 20 février 2002 à 08:00. Évalué à 10.

      

      A ce propos, il est passé il y a quelques jours sur kuro5hin un excellent article sur le mythe de la sécurité open source
      http://www.kuro5hin.org/story/2002/2/12/61225/8865(...)
      Avec à la fin une présentation de différentes approches d'audit (audit de code, étude formelle d'algorithme, tests, étude du design ...).
      
      Parmi les problèmes engendrés par le mythe de la sécurité open source on trouve :
      - le manque de support qui allié à un code complexe peut rendre l'audit difficile
      - l'assomption "puisque le code est ouvert, il sera audité donc c'est pas mon problème"
      - le fait qu'un contributeur va s'intéresser uniquement à la feature qu'il ajoute (c'est directement lié au point précédent AMA)
      
      Sinon en terme d'audit, le récent projet Sardonix, monté à partir de fond de la DARPA par les gens de WireX (Immunix, stackguard, formatguard) avec en plus des gens comme RFP, tente d'appliquer le modèle d'audit d'OpenBSD à l'ensemble de l'open source. En clair, ils se proposent de faire de l'audit systématique de code.
      
      Voir http://www.sardonix.org(...) (site encore en beta, projet jeune) et aussi ces slides de Theo de Raadt sur les méthodes d'audit d'OpenBSD
      http://openbsd.org/papers/mexico98-slides.ps(...)

  • [^] # Re: Libre = sécurité

    Posté par Eddy le 20 février 2002 à 14:28. Évalué à -1.

    

    Sans vouloir etre pessimiste, si ca continue comme ca, dans 2 ans, on risque de rire plus des gens qui coryaient que le libre allait "gagner" que de rire comme tu le suggeres.( CF la news sur la commission EUropeenne)

  • [^] # Re: Libre = sécurité

    Posté par Gloo le 23 février 2002 à 02:04. Évalué à 1.

    

    "Je pense que dans deux ans, on riera au nez de toute personne qui présentera un dispositif de sécurité basé sur du code fermé"
    
    Je pense que dès aujourd'hui on peut rire au nez de toute personne/société qui propose une evaluation de politique de sécurité sans évoquer une seule fois la sauvegarde/restauration.
    
    Il s'agit peut être d'un oubli de leur part... Mais quel oubli !

• # Sérieux, mais pas encore standard...

  Posté par Timbert Benoît le 20 février 2002 à 10:51. Évalué à -1.

  

  C'est bien de vouloir créer un standard sérieux, encore fait-il qu'il soit suffisament connu.
  
  Si ce standard est largement reconnu, ça limitera le champ des "experts" pipo-mollo dans le domaine...

  • [^] # Re: Sérieux, mais pas encore standard...

    Posté par kael le 20 février 2002 à 11:33. Évalué à 0.

    

    c'est vrain mais on est pas a l'abris de trou dans la methode, sans vouloir jouer a l'ouroboros, Il fau que cette methode soit suivie de tres pres car si elle doit servir de reference a tout le monde...

  • [^] # Re: Sérieux, mais pas encore standard...

    Posté par Pierre Jarillon (site web personnel) le 21 février 2002 à 02:43. Évalué à -3.

    

    La poule ou l'oeuf ?
    On ne peut que commencer par faire quelque chose de sérieux.
    C'est difficile de commencer par quelque chose de connu et reconnu :-)
    Souhaitons bon vent à ce projet.

• # Education

  Posté par Roland Trique le 20 février 2002 à 19:22. Évalué à -1.

  

  Apparemment, beau travail. Juste un oubli : ils parlent quasiment pas des utilisateurs, à ce que j'ai vu. Et moi, au boulot, tous les jours, je rencontre partout des post-its avec des logins et des mots de passe...
  
  Faut pas oublier l'éducation des utilisateurs. Le système le plus sécurisés sera irrémédiablement une passoire si ses utilisateurs se moquent de la sécurité.

  • [^] # Re: Education

    Posté par Fabimaru (site web personnel) le 20 février 2002 à 19:30. Évalué à -3.

    

    Comment faites-vous pour stocker tous vos mots de passe (comptes mails, pgp, login...). Personnellement ma memoire commence a faire defaut, et ces precieuses infos ont tendance a etre swappees vers le /dev/null de mon cerveau

    • [^] # Re: Education

      Posté par Jean le 20 février 2002 à 22:49. Évalué à -2.

      

      Facile, pour me rappeler facilement de tous ces mots de passe, j'ai mis le même partout. Comme ça j'ai juste une case du cerveau d'occupée!
      
      Non, je suis pas si bête :)
      
      Dans le cas ou je commencerais à avoir du mal à me souvenir de certains passes, je pencherais plutôt pour une solution du style petit carnet bien-caché-même-que-personne-sait-où-il-est, ou alors dans le palm/psion/Fx92collège.

    • [^] # quelques idées classiques pour t'aider

      Posté par tomazi le 21 février 2002 à 00:03. Évalué à -1.

      

      Au choix :
      1. n'avoir qu'un mot de passe pour toutes les applis, mais dans ce cas le choisir difficile, et le changer régulièrement.
      2. utiliser des variations de tes mots de passe selon les applis.
      Ex : pour le mois de février:
      mail : mzr78!b$
      pgp : pzr78!b$
      login : lzr78!b$
      (on peut utiliser des variations + subtiles pour que ce soit efficace)
      et changer la partie "zr78!b$" tous les mois. L'intérêt est que se faire sniffer un mot de passe est pas trop grave car les autres restent inconnus.
      3. avoir dans un fichier chiffré la liste de tes mots de passe. tu n'en as plus qu'un à retenir, revient au cas 1
      
      Perso je préfère la 1 (avec un mot de passe différent suivant qu'il est utilisé au boulot ou qu'il est exposé quand il se ballade sur internet genre les comptes de mail FAI, les authentifications sur les sites etc), en attendant la biométrie...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.