Open source, Closed source et sécurité

• # Fait flipper !!!

  Posté par Anonyme le 09 octobre 2000 à 16:13. Évalué à 0.

  

  P'tain !!! ca m'a fait flipper au début.
  J'ai cru que j'était comme ces intégriste qui refuser de croire la vérité "NON !!! l'OpenSource se n'est pas de l'anti-sécurité".
  
  Ma fois, j'ai été très surpris par cette article : très bon !!! :)

  • [^] # Re: Fait flipper !!!

    Posté par Anonyme le 09 octobre 2000 à 16:26. Évalué à 0.

    

    peux tu rephraser ?

    • [^] # Re: Fait flipper !!!

      Posté par Anonyme le 09 octobre 2000 à 19:08. Évalué à 0.

      

      Et bien,
      J'ai eut peur de voir un article qui contredise tout ce que je pensais :
      "OpenSource == Sécurité"
      
      Mais l'article donne
      "OpenSource (!= || ==) && ++ Sécurité"
      
      Do you comprendre me ??? ;)

• # Windows 2000

  Posté par Anonyme le 09 octobre 2000 à 16:27. Évalué à -1.

  

  Tous sur Windows 2K !

• # Et c'est ce qui fait la force du libre

  Posté par Anonyme le 09 octobre 2000 à 16:27. Évalué à 0.

  

  Si un logiciel proprietaire parait moins sensible
  au attaque , c'est que l'on ne peut lire le
  source ...... et donc on ne peut pas exploiter
  des failles qui apparaisent en clair.
  Par contre, lorsque l'on parle de NT ( ou d'autre
  soft propriétaire comme les Unix et autre OS )
  lorsqu'une faille est trouvée ( et on en trouve )
  il faut attendre le correctif qui peux parfois prendre des semaines ( voir des mois ... )
  pour corriger alors que dans le libre, n'importe qui peut corriger et recompiler ..... dans l'heure.
  De plus, patcher un NT est parfois suicidaire ..... actuellement on deconseille d'utiliser
  le Service pack 6 .... au profit du 6.a !
  Alors qui du libre ou de l'open est le plus securitaire ..... tout depent de l'usage ....
  amis administrateur, bosser .......
  A+
  
  

  • [^] # Re: Et c'est ce qui fait la force du libre

    Posté par Anonyme le 09 octobre 2000 à 16:31. Évalué à 0.

    

    Sun est assez rapide pour corriger les failles de securite dixit Linus Torvalds. Sun propose aussi des clusters de patch (ou individuels) comme Microsoft. Chose qui n'a pas effleure l'esprit des distributeurs Linux.

  • [^] # Re: Et c'est ce qui fait la force du libre

    Posté par Vanhu le 09 octobre 2000 à 16:39. Évalué à 1.

    

    "N'importe qui" "peut".
    
    Ca veut dire que le libre a tendance a favoriser la sécurité (du moins, ne la freine pas), pas que n'importe quel LL est sécurisé.
    
    La question "Les LL sont ils plus sécurisés que les logiciels propriétaires ?" est (amha) un troll aussi gros que "Red Hat est-elle mieux que Debian ?", "Windows ME est-il un bon OS ?", "Java est-il mieux que C++ ?", "Beurre ou ordinaire ?", "Blonde ou brune ?", "Fromage ou dessert ?", "Dentelle ou cuir ?", etc....
    
    
    A +
    
    VANHU.
    
    <TROLL>
    Réponses: LL, Debian, non, bof, beurre, les deux, les deux, dentelle...
    </TROLL>

    • [^] # Re: Et c'est ce qui fait la force du libre

      Posté par Anonyme le 09 octobre 2000 à 16:42. Évalué à 0.

      

      Sun a interet a avoir une politique misant bcp sur la securite. le monde tourne sur leurs epaules. Comme au bon vieux tps du mainframe.

    • [^] # Re: Et c'est ce qui fait la force du libre

      Posté par Anonyme le 09 octobre 2000 à 16:43. Évalué à 0.

      

      T'es con toi. C'est mieux le cuir. ;-)

      • [^] # Re: Et c'est ce qui fait la force du libre

        Posté par Vanhu le 09 octobre 2000 à 16:55. Évalué à 1.

        

        Demain, je pose un brevet sur la dentelle de cuir !
        
        A +
        
        VANHU.
        

    • [^] # Re: Et c'est ce qui fait la force du libre

      Posté par Anonyme le 09 octobre 2000 à 17:12. Évalué à 0.

      

      Les rousses et les chatains c'est bien aussi. Cuir ou dentelle ? Sans rien !

• # Linux et Windows NT/2000

  Posté par Anonyme le 09 octobre 2000 à 16:40. Évalué à 0.

  

  J'aurais peur de mettre un serveur de base de donnee Linux en production (Oracle, 2000 et quelques utilisateurs). Le nombre de cracker-unix wanabe est impressionnant. Tous les outils unix sont a leur disposition en un clin d'oeil. Je ne veux pas patcher un systeme tous les jours...
  
  Je ne compte pas beaucoup d'outil sous NT en revanche.
  

  • [^] # Re: Linux et Windows NT/2000

    Posté par Gaël le 09 octobre 2000 à 17:17. Évalué à 1.

    

    En fait, pour une installation sécurisée, il suffit de limiter le nombre d'outils et de services disponible. Règle un: virer tout les démons de confort, inutile sur un serveur. Règle deux, virer tout les outils et démons redondants (cron at at font double emploi, par ex) ou peu fiable (les fameux r*).
    
    Bref, chercher le minimalisme. Linux est de ce point de vue bien plus configurable que NT.

    • [^] # Re: Linux et Windows NT/2000

      Posté par Anonyme le 10 octobre 2000 à 08:58. Évalué à 0.

      

      A mon avis cron et at ne font pas exactement la même chose:
      cron est lancé par root (donc réservé a l'adm)
      at permet a n'importe qui de lancer un batch
      a chaque distrib il faut verifier ce que fait cron
      Bien qu'étant adm de ma machine Linux, je ne travaille pas sous root, mais sous un login quelconque.
      (Je dirais une des premières règles élémentaire de sécurité)

  • [^] # Penetrons Linux / Windows NT/2000

    Posté par Anonyme le 09 octobre 2000 à 18:11. Évalué à 0.

    

    tu peux sortir tes outils Unix
    
    apres je te sors mes outils NT
    (qui proviennent de la meme source que les tiens le plus souvent:
    Bugtraq
    l0pht
    NtBugtraq
    SysInternals
    Simple Nomad
    )
    
    Juste pour rire, chaque fois que tu vois un site en ASP, essaye le bon vieux ::$DATA... tu risques d'etre etonne
    ( http://www.microsoft.com/technet/security/bulletin/ms98-003.asp(...) pour le patch)
    
    Comme disait un ptit troll:
    "le principal trou de securite, c'est le connard qui installe et administre le systeme"
    
    
    

• # ...

  Posté par Anonyme le 09 octobre 2000 à 16:56. Évalué à 1.

  

  disons qu'avoir un OS ou les failles sont dissumulées au public, ça éviter les embrouilles avec des « wanabee hackeurs », comme certain les appellent qui peuvent plus facile exploiter des failles non corrigés sous UNIX (non patchés par l'admin) connues, que des failles dont personne n'a entendu parler, sous NT.
  
  Après, tout dépend ce qu'on cherche :
  comme pour les cartes bleues : la sécurité, c'est de faire croire qu'il y'en à une ? Si c'est le cas, effectivement, alors la politique du propriétaire est la bonne.
  
  Quand au « trolleurs .. s'abstenir », je trouve ça plutôt hilarant : donner un avis (car la fin de la niouse n'est rien de plus qu'un avis) en l'affichant comme une vérité : « Mais comment ne pas penser qu'un
  système fermé, si bien programmé et en connaissance de cause, peut etre plus
  sécurisé » ...
  
  Sans dispenser une analyse poussée, pas besoin de chercher loin pour saisir que le sens réel de cette phrase est « un système fermé bien programmé est plus sécurisé ». En effet, le « peut-être » fait penser à pseudo-interrogation... pseudo, la phrase débutant par « comment ne pas penser », qui lui est affirmatif / injonctif au plus haut point.
  Le peut-être, dans l'ensemble, n'est là que pour donner une touche « ouverte » au propos.
  
  Alors balancer des trucs pareil et dire « pas de troll », c'est très proche de l'hopital qui se moque de la charité.

  • [^] # Re: ...

    Posté par Anonyme le 09 octobre 2000 à 17:00. Évalué à 0.

    

    >car la fin de la niouse n'est rien de plus qu'un
    >avis
    
    Quelle analyse poussée ! Heu poussive ?

  • [^] # Re: ...

    Posté par Anonyme le 09 octobre 2000 à 17:01. Évalué à 0.

    

    Ca c'est du Yop deguisé...HéHé. On t'a retrouvé yop !

    • [^] # Re: ...

      Posté par Gaël le 09 octobre 2000 à 17:25. Évalué à 1.

      

      Il a plutôt raison, yop ou pas yop (c'est qui celui-la, d'ailleurs ?).
      
      A mon humble et éclairé avis, on trouve beaucoup plus de faille de sécurité dans des prog libres parce que
      1: il y a beaucoup plus de gens qui en cherchent.
      2: quand une faille est trouvée dans un libre, on le dit à tout le monde pour que qqn apporte un correctif; tandis que pour un proprio, on garde profil bas et n espère que personne ne s'en rendra compte jusqu'au prochain service pack.
      
      
      Pour faire une comparaison (n'est pas raison, je sais, mais bon): lisez tout les jours la rubrique nécro du journal local. Vous verrez plein de gens qui meurent dans votre région, et pratiquement aucun ailleurs. Est-ce à dire qu'il n'y a que dans votre ville que les gens meurent ?

    • [^] # Re: ...

      Posté par boubou (site web personnel) le 09 octobre 2000 à 17:53. Évalué à 1.

      

      Voilà une réaction formidable d'intelligence. Houba hop dit quelque chose de plutôt intéressant et même d'argumenté, et boum on lui ressort du yepou à la gueulle. Bravo. Superbe.
      
      Ba oui, il a raison Houba Hop, la formulation de la news est un superbe appel au troll, avec un truc du genre "je décline toute responsabilité pour les trolls qui vont suivre, d'ailleurs j'avais dit de ne pas en faire, bande de méchants".

      • [^] # Re: ...

        Posté par Anonyme le 09 octobre 2000 à 18:18. Évalué à 0.

        

        Merde c'est vrai! Y'a tout le monde qui meurt dans mon village je vais aller vivre ailleurs c'est dangereux ici :-)

    • [^] # Re: ...

      Posté par oliv le 09 octobre 2000 à 20:56. Évalué à 1.

      

      Non, c'est pas "Yop", c'est "Yeupou".
      Mais tu devrais le savoir, Yeupou, puisque c'est toi :-P

• # D'apres les stats de security-focus

  Posté par Anonyme le 09 octobre 2000 à 18:13. Évalué à 0.

  

  http://www.security-focus.com/(...)
  Section vulnérabilité > stats
  Ben du coup je préfère que les serveurs tournent
  sou Debian ou FreeBSD (sans parler d'aures avantages... ) ....
  

  • [^] # Re: D'apres les stats de security-focus

    Posté par Anonyme le 09 octobre 2000 à 18:44. Évalué à 1.

    

    Et ces stats ne seraient-elles pas à comparer à la quantitée d'utilisateurs ?
    
    Il me semble que ce n'est pas le cas...
    
    Enfin bon, encore des stats gratuites qui ne disent pas grand chose, voir rien du tout.
    
    Moi je préfère Traboudzing Kaloptta, un OS qu'à jamais eu aucune faille. Ok, personne n'en à jamais vu la couleur, mais c'est pas une raison...
    
    Aussi, sur une faille qui touche Linux (ce qui doit être le cas de la plupart, car ne l'oublions pas, une distrib, c'est des outils GNU, un noyau Linux), comment ça se dispatchent entre distrib ? Les distrib qui sont pas sécurisée sont celles qui ont sorti leur dernière distrib 3 jours avant qu'une faille ne soit trouvée dans un paquet ?
    
    bref..

    • [^] # en français dans le texte

      Posté par Anonyme le 09 octobre 2000 à 18:47. Évalué à 1.

      

      Et ces stats ne seraient-elles pas à comparer à la quantitée d'utilisateurs ?
      
      Il me semble que ce n'est pas le cas...
      
      Enfin bon, encore des stats gratuites qui ne disent pas grand chose, voire rien du tout.
      
      Moi je préfère Traboudzing Kaloptta, un OS qu'a jamais eu aucune faille. Ok, personne n'en a jamais vu la couleur, mais c'est pas une raison...
      
      Aussi, sur une faille qui touche Linux (ce qui doit être le cas de la plupart, car ne l'oublions pas, une distrib, c'est des outils GNU, un noyau Linux), comment ça se dispatchent entre distribs ? Les distribs qui ne sont pas sécurisées sont celles qui ont sorti leur dernière distrib 3 jours avant qu'une faille ne soit trouvée dans un paquet ?
      
      bref..
      
      (ce serait vraiment bien si on pouvait scorer (vers le bas nos propres messages) - par exemple le précédent, plein de fautes, que je pourrais mettre à -1)

      • [^] # Re: en français dans le texte

        Posté par Anonyme le 09 octobre 2000 à 18:59. Évalué à 0.

        

        ben les "bugs" de securite sont de deux sortes sous un Linux:
        
        + soit c'est un bug du source de depart (ex un bug dans ssh) et ca se repercute sur toutes les distribs qui ont ledit ssh installes
        
        + les bugs qui sont distrib specifiques, a cause d'une config merdique ou parce qu'ils sont les seuls a l'installer
        
        

        • [^] # Re: en français dans le texte

          Posté par Anonyme le 09 octobre 2000 à 19:43. Évalué à 1.

          

          ben dans le second cas, on remarquera que les distribs proposant des configs incluses auront forcement plus de mouises probables que celles n'en offrant pas..
          
          Mais n'est ce pas sympathique, d'avoir un truc qui marche dès l'installation de la distrib, et qu'on peut adapter.
          
          je m'expliquer : quand il n'y a pas de fichier de conf offert, faut en pondre un. Lorsqu'il y'en a un, rien ne nous empeche d'en pondre un...
          
          Alors... Alors les distribs proposant des configs sont forcément perdantes dans l'affaire, mais elles permettent à des gens qui veulent utiliser plus que configurer de faire quelque chose...
          
          Pas d'accord ?
          
          Enfin moi, c'est ce que j'ai toujours dit, peu importe la distrib, tout dépend ce qu'on en fait...

  • [^] # Re: D'apres les stats de security-focus

    Posté par Simon Huggins le 11 octobre 2000 à 09:57. Évalué à 1.

    

    Si l'on lit le premier paragraphe...
    
    "The following are statistics compiled from the data in the BUGTRAQ Vulnerability Database. The statistics should not be taken to imply that some particular operating system or application is more or less secure than another one. They are simply a count of how many vulnerabilities associated with each of them is in the database for these year."
    
    (Et de toute façon Caldera a le moins de bugs d'un linux...)
    
    On va pas changer distribution à cause de ça...

• # Trous de sécurité = mauvaise programmation

  Posté par Anonyme le 09 octobre 2000 à 20:40. Évalué à 0.

  

  Je suis en train d'haliciner : à lire tous les commentaires (du moins ceux ayant un minimun d'intelligence), les trous de sécurité sont une fatalité.
  NON. C'est la faute des programmeurs qui ne savent pas pondre des lignes de code sans erreur. Évidemment, on peut faire (quasiment) n'importe quoi avec le langage C (celui qui n'a jamais utilisé cast...), mais le PIRE ce sont les librairies mal écrites auxquelles font confiance les programmeurs. C'est la faute aux programmeurs aussi pour le manque de tests sérieux. C'est aussi la faute des marchands Linux (redhat, mandrake, suse, etc.) qui ne testent pas assez.
  Il existe quelques moyens simples d'éviter des erreurs de programmation :
  
  http://www.parasoft.com(...) pour leur (très cher) insure++
  http://www.openbsd.org/papers/strlcpy-paper.ps(...)
  http://www.freebsd.org/security(...) voir Secure Programing Guidelines
  
  Et j'en oublie certainement (voir SUN, HP, IBM, etc.).
  
  Arrh, à quand la fin du C ?
  

  • [^] # Re: Trous de sécurité = mauvaise programmation

    Posté par Anonyme le 09 octobre 2000 à 20:59. Évalué à 1.

    

    Tu dois être une ili3tz I°r0gR4[v]3rzz toi, non ?
    
    Des tests, ils en fonts, et forcement, tout ne se trouve pas.. Mais quand ça se trouve ça se corrige... Est-ce si grave, peut-on parler de « faute » ...
    
    De toute façon, si le but était de nous apprendre qu'une faille de sécurité est du à une connerie dans le code, c'est sympathique, mais bon, sans être trop expert en là matière, je dirais qu'on aurait pu un peu s'en douter, hein !

    • [^] # Re: Trous de sécurité = mauvaise programmation

      Posté par Anonyme le 09 octobre 2000 à 22:21. Évalué à 0.

      

      Il est gentil, lui. T'as le droit de ne pas être d'accord.
      Si il y a des bogues -> c'est qu'il n'y a pas assez de tests (cqfd).
      
      --
      (si tu n'aimes pas, relis-toi)

  • [^] # Re: Trous de sécurité = mauvaise programmation

    Posté par Anonyme le 09 octobre 2000 à 23:52. Évalué à 0.

    

    > Arrh, à quand la fin du C ?
    
    <troll>
    Vive ADA !!!
    </troll>

    • [^] # Re: Trous de sécurité = mauvaise programmation

      Posté par Babou le 10 octobre 2000 à 01:56. Évalué à 1.

      

      Euh ... Ada 95 SVP !

• # sécurité

  Posté par Anonyme le 10 octobre 2000 à 09:16. Évalué à 0.

  

  NT est un excellent système propriétaire, avec des
  milliards d'investissement en développement (...eusos!...)
  
  Mais linux est jeune mais un système ouvert...
  c'est une force qu'on ne peut pas mesurer à l'aune des $-euros ...............

  • [^] # Re: sécurité

    Posté par Anonyme le 10 octobre 2000 à 10:12. Évalué à 1.

    

    
    "La sécurité par l'obscurantisme ne mène a rien"
    
    On trouve peut-être moins de failles sur NT que sur Linux : cela ne veut pourtant pas dire qu'il n'en existe pas, bien au contraire : combien de personnes se penchent sur le niveau de sécurité d'un OS propriétaire ?
    
    Le meilleur exemple de (robustesse == diffusion)
    nous vient des algorithmes de crypto, de checksum (ie MD5). Diffuser permet de valider !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.