Une étude met dos-à-dos logiciels libres et propriétaires

Posté par  . Modéré par orebokech.
Étiquettes :
0
28
juin
2002
Sécurité
Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».

En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.

En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.

Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...

Aller plus loin

  • # Hum

    Posté par  . Évalué à -10.

    C clair que si on a les spec ouvertes et que le code est mal foutu, il est facile de trouver les failles.
    Si Linux devient tres important, bcp vont se mettre a consulter les sources et il est clair que les decouvertes de faille vont tomber...
    • [^] # Re: Hum

      Posté par  (site web personnel) . Évalué à -2.

      Je ne sais pas si tu t'es déjà renseigné sur l'impact de GNU/Linux sur le monde de l'informatique... cela dit, si tel était le cas, tu aurait pu savoir que celle-ci est franchement non-négligeable.

      Donc, ton "Si Linux devient tres important" est /dev/null et non avenu, sauf, si c'est un retour d'expérience d'il y a 10 ans et un constat de ce qui s'est passé depuis.

      Je considère donc ton commentaire d'un autre âge (et oui, en info, 10 ans, c très long !!). Merci de les mettre à jour. ;c)

      --
      -1 car commentaire de commentaire...
      • [^] # Re: Hum

        Posté par  . Évalué à -6.

        Attitude informaticienne classique consistant à montrer son mépris et son dédain, aussi petit soit-il, plutôt qu'une forme de compréhension.
    • [^] # Re: Hum

      Posté par  . Évalué à 10.

      C'est clair que si Apache devenait plus utilisé que IIS alors puisqu'il est Opensource on va lui trouver des failles plus nombreuses que celles de IIS qui est un logiciel propriétaire. Mince Apache est plus utilisé que IIS et a moins de failles. Ca alors....
  • # moralité:

    Posté par  . Évalué à 10.

    utilisons de l'open source, quite a ce que ca bug autant que ce soit libre :)
    • [^] # Free Bug: oui mais

      Posté par  . Évalué à 10.

      La question tel qu'elle est posée par ce "chef de labo" ne pas pertinente. Il a oublié un paramètre important à mon avis. Un logiciel propriétaire doit être développé en un minimum de temps et en utilisant un minimum de ressources. Un LL lui n'a pas (ou peu) ses impératif, de plus comme il est développer par des volontaires on peut s'attendre à plus de passion.

      Enfin, la question n'est pas de savoir si il y a des bugs (il y en a) mais de pouvoir les corrigés rapidement. (même après si le produit n'est plus maintenu par l'éditeur.)
  • # Grotesque

    Posté par  . Évalué à 10.

    Un papier de 13 pages qui ne prend en compte que le nombre de bugs, pas leur rapidité de correction ni leur gravité, pour expliquer la sécurité ...
    A noter que avec "The cathedral and the bazaar", il y a "Opening the Open Source Debate", de l'institution Alexis de Toqueville dans les références. Lequel à le plus marqué l'auteur ? :)
    • [^] # Un élément de réponse:

      Posté par  . Évalué à 10.

      Extrait de: http://research.microsoft.com/labs/cam.asp(...)
      The Laboratory [de recherche informatique microsoft] is located in on the University West Cambridge site, on the outskirts of the city, near to the University of Cambridge Computer Laboratory with which there is a close partnership.

      trés close et tout closed.
      • [^] # Re: Un élément de réponse:

        Posté par  (site web personnel) . Évalué à 10.

        Exact... d'ailleurs regarde ou est le loge le labo en question:

        (http://www.cl.cam.ac.uk/UoCCL/contacts/(...))

        University of Cambridge
        Computer Laboratory
        William Gates Building
        15 JJ Thomson Avenue
        Cambridge CB3 0FD
        UK
        qui est entre parenthese un tres beau batiment mais comment dire du mal du genereux sponsor qui permet d'avoir un beau bureau! ;-)

        [Bon moi je peux encore dire du mal parce que mon lieu de travail... c'est pas tout a fait ca !]
        • [^] # Re: Un élément de réponse:

          Posté par  . Évalué à 7.

          Ce qui en soit est assez choquant, et plutôt révélateur, dans la mesure où généralement on attend que la personne soit décédée avant de donner son nom à un batiment ou avenue... Le psy qui sommeille en moi y voit un manque aigü de reconnaissance d'un coté, et l'économiste qui squatte aussi y voit le manque chronique de fonds de l'état anglais. Vive le libéralisme ! Vive Tatcher. Ah non, sauf Tatcher comme disait la chanson...
          • [^] # Re: Un élément de réponse:

            Posté par  . Évalué à -2.

            Bill Gates = William Gates III C'est tout
            • [^] # Arrete ton intox stp

              Posté par  . Évalué à 10.

              Raté, comme rapporté au-dessous http://news.bbc.co.uk/hi/english/uk/newsid_760000/760103.stm Donc c'est bien Bill qui a financé le truc... et le coup du III, ben finalement c'est à gerber : superbe la démocratie américaine, bravo le rêve américain, au pouvoir que des dynasties en fait, des II, des III, des Juniors... Là l'interêt de la chose est évidente : peu importe le prénom, c'est le nom de la dynastie qui importe, et donc l'héritier supposé porte toujours le prénom de son père afin de facilité le passage de relai (du baton ;) et la confusion dans nos têtes. Tout un rêve qui part en fumée, c'était bien la peine de nous arroser de propagande sur le petit Bill qu'était un génie de l'informatique et qui a tout inventé dans son garage... Déjà qu'il suffisait de lire un de ses bouquins pour comprendre la supercherie... Que de la propagande en fait : c'était déjà la n-ième génération d'une famille oligarchique qui a placée là son fiston lors du procès anti-trust contre IBM... Je ne prétends pas savoir où est la vérité, mais je suis bien certain qu'elle a fui bien loin de tous ces gens...
              • [^] # Re: Arrete ton intox stp

                Posté par  . Évalué à -2.

                Ben oui c'est Bill qui a finance le truc, mais le batiment est au nom de son grand-pere, pas a son nom(--> pas au nom de qq'un de vivant). Quand a la democratie americaine/reve americain/blabla... TU M'EXPLIQUERAS CE QUE CA VIENT FAIRE ICI !!!! Bordel, les gens ont meme plus le droit d'appeler leur fils comme ils veulent sans qu'on les accuse de vouloir dominer le monde. Je doutes que le grand-pere et le pere de Bill Gates savaient qu'il serait proprietaire de MS quand ils les ont mis au monde. Sinon, si le simple fait d'avoir le meme nom que le pere apporte de la confusion dans ta tete, faut penser a aller voir un medecin, ca devient grave. Et evite d'accuser les gens de tous les maux juste a cause de la maniere dont ils appellent leurs enfants, tu deviens vraiment pathetique.
          • [^] # Re: Un élément de réponse:

            Posté par  (site web personnel) . Évalué à 0.

            où généralement on attend que la personne soit décédée C'est le cas (en France au moins) quand il s'agit d'une rue ou d'un batiment publique ! Ici c'est du prive donc si tu payes, le batiment porte ton nom... A quelques centaines de metres plus vers le centre ville, la bibliotheque scientifique s'appelle "Betty and Gordon Moore Library" tout simplement parce qu'ils l'ont finance...
          • [^] # Re: Un élément de réponse:

            Posté par  . Évalué à 0.

            A partir d'un certain montant de pognon, la règle générale ne s'applique plus... cf: http://news.bbc.co.uk/hi/english/uk/newsid_760000/760103.stm Vu la partialité évidente de Monsieur Anderson, son papier le ridiculise, point barre.
            • [^] # Re: Un élément de réponse:

              Posté par  . Évalué à -1.

              extrait de ton lien: <i>And in June last year the fund gave £3.2bn to the William H Gates Foundation run by Mr Gates' father - a charity which issues grants to tackle world health problems.<i> depuis il semblerait que la société de william gates TROIS soit préte à donner entre 4 et 5 milliards de dollars à la "fondation pour sauver les consoles mal désignées avec des manettes trop grosses". Il semblerait que ce soit la plus grande donation jamais réalisée pour essayer de réparer une erreur industrielle et marketing. Un employé de microsoft contacté au téléphone et qui souhaiterait rester dans l'anonymat sous le pseudonyme de monkeyboy aurait déclaré: "on va niquer les japonais, on est blindé de pognons. rhhhhaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa !!!!!!!"
      • [^] # Chercheur respecté

        Posté par  (site web personnel) . Évalué à 8.

        Oui effectivement, on peut reprocher la "proximité" de Ross Anderson avec M$ à Cambridge. Mais je connais personnelement un gars qui travaille chez M$ Research et qui l'a eu comme directeur de thèse, eh bien, Ross Anderson est quelqu'un de très fort en sécurité informatique et de très respecté dans le milieu de la recherche internationale sur le sujet. Vous n'avez qu'à consulter le nombre de papiers qu'il a écrit sur le sujet et sur la crypto pour vous faire une idée. Il contribue aussi beaucoup à "l'évangélisation de masses" au travers de nombreux articles dans la presse grand public.
        • [^] # Re: Chercheur respecté

          Posté par  . Évalué à 0.

          Même en étant reconnu et apparement très compétent ( ce dont je ne doute pas), ça n'empêche pas de dire des conneries des fois !!! Personne n'est parfait!
        • [^] # Re: Chercheur respecté

          Posté par  . Évalué à 5.

          D'ou la remarque justifiée du commentaire original de ce fil: mais comment se fait-ce qu'un expert puisse confondre stabilité et sécurité et assimiler le tout dans un peu clair gloubi boulga.
        • [^] # Re: Chercheur respecté : tu m'étonnes !!!

          Posté par  (site web personnel) . Évalué à 10.

          Ce type est un cador de la sécurité ! Pendant ma thèse, j'ai collaboré avec un type de son équipe (qui bosse maintenant chez MS Research) et c'est clair que son équipe tient la route. Quand on lit un papier scientifique, il faut bien comprendre la démarche : on se pose une question, et on essaye ensuite d'y répondre. Le truc, c'est que souvent, le problème dans son ensemble est difficilement traitable, donc on le découpe en plsieurs sous-problèmes (qui peuvent sembler complètement décorrélés). Ici, R. Anderson se pose une question, propose une comparaison fondée sur une sorte de métrique (le nombre de bogues) qui vaut ce qu'elle vaut. Mais déjà, il fallait le faire. Ca m'ennerve de voir des gens ici qui râlent parce que le résultat de l'étude (rigoureuse) ne va pas complètement dans le sens qu'ils voudraient :
          1. faites une autre étude, tout aussi rigoureuse, et voyez les conclusions que vous pourrez en tirez ... mais prenez bien soin à ne pas faire l'inverse, cad partir des conclusions auxquelles vous voulez arriver pour ensuite retrouver un vague cheminement logique ;
          2. partez de son travail et améliorez le plutôt que de rester à râler ici, ce qui ne sert strictement à rien (un peu comme ce coup de gueule, sauf que ça me défoule ;-).
          Dernier point, pour resituer le personnage puisque les moules ne vont pas le faire elle-même, voici, issu de sa page, les domaines sur lesquels il travaille : * Peer-to-Peer systems - including the Eternity Service and the Cocaine auction protocol * Analysis and design of cryptographic algorithms - including our AES candidate Serpent * Information hiding - including Soft Tempest and attacks on copyright marking systems * Reliability of security systems - including papers on ATM fraud and tampering with chip cards * Robustness of cryptographic protocols - including `Programming Satan's Computer' * Security of clinical information systems - including the Health and Social Care Bill controversy * Privacy and freedom issues - including key escrow, FIPR and the Global Trust Register Si vous voulez en savoir plus, voici l'url de sa page : http://www.cl.cam.ac.uk/~rja14/
          • [^] # Re: Chercheur respecté : tu m'étonnes !!!

            Posté par  . Évalué à 3.

            Nombre des points que tu soulèves sont justes. Cependant, j'ai peur que sous couvert de l'étude d'une partie du problème de la sécurité (Le nombre de bugs), ont ait ici une partie de l'attaque en règle de Microsoft contre le logiciel libre. Le fait que l'étude soit juste et rigoureuse ne m'empêche pas de penser que le sous-ensemble étudié a été choisi en sachant quels résultats il donnerait. En clair : je pense que l'étude est délibérement simplificatrice afin de fournir des arguments à MS dans le futur.
          • [^] # Re: Chercheur respecté !!

            Posté par  (site web personnel) . Évalué à 2.

            Ben, en science on fait des approximations, et il dit que toutes conditions étant égales par ailleurs en particulier les méthodes de travail, open source et close source software sont équivalents au niveau de la sécurité. Dans ces conditions son propos tient la route. En science pour avancer il est courant de geler des paramètres pour que les choses soient comparables. Ce n'est pas choquant. Ainsi, si malgré son étude on prend le cas de apache et IIS, on s'aperçoit qu'il existe une influence non négligeable d'un autre facteur. Et, peut être qu'ils s'apercevront que la méthode de développement est ce facteur. Dans cette hypothèse, si Microsoft développait ses logiciels en mode logiciel libre même avec des sources fermés, peut être que le résultat est celui qu'il prédit.
  • # A un détail près

    Posté par  (site web personnel) . Évalué à 10.

    Bon, il n'a pas tout à fait tort. Faire du reverse engineering ca demande tout de même plus d'effort qu'ouvrir un emacs. Seulement il oublie une petite chose dans son raisonnement : une fois la faille découverte, elle est corrigée bien plus rapidement quand il s'agit d'un logiciel open-source (combien de temps faut-il pour un patch M$ ?).

    Et en outre, l'open-source a d'autres avantages que la sécurité des logiciels : entre autre un petit truc à peine important qu'on appelle la liberté.
    • [^] # Re: A un détail près

      Posté par  . Évalué à 7.

      Et en outre, l'open-source a d'autres avantages que la sécurité des logiciels : entre autre un petit truc à peine important qu'on appelle la liberté. sauf que.. la liberté (enfin les libertés fondamentales du LL), beaucoup s'en foutent ! je m'explique, pas besoin de partir sur un troll. notez que je me place uniquement dans une problématique économique, il y a d'autres raisons d'un autre ordre qui militent en faveur du LL. parce que, mine de rien, c'est quand même des entreprises, entités économiques, qui doivent adopter le LL pour le répandre... comme vous le savez, Auchan, le GAN, entre autres, se sont tournés vers le LL. or il est très clair (http://fr.news.yahoo.com/020624/60/2nc1m.html) que l'aspect d'ouverture des sources, ils s'en cognent. et c'est NORMAL, pour une boite ça ne compte pas en soi. en revanche, ce qui les intéresse, c'est une conséquence de certaines de ces libertés: le fait de ne pas être lié à un vendeur unique, et donc de ne pas être forcé d'upgrader leurs machines/logiciels tous les N ans (N ayant tendance à diminuer au fur et à mesure que MS croît, suivant les lois du monopole), tout en maintenant une très bonne qualité de service, grâce à la réactivité de la communauté opensource pour corriger les bugs découverts. or ça, c'est économiquement extrêmement important , puisque c'est là-dessus que MS fait son beurre, et à vrai dire, c'est même là-dessus que se situe le vrai enjeu de cette bataille actuelle... à mon avis, c'est surtout ça que le chercheur oublie: il se place beaucoup trop dans l'abstraction. Mais, selon ZDNet, dans la deuxième partie de son étude, il semble en convenir. En résumé: les modèles mathématiques c'est bien beau, mais il faut les confronter à la réalité, et ne pas oublier le "facteur humain" (non, non, pas besancenot - ok blague à 2 balles)
      • [^] # Re: A un détail près

        Posté par  . Évalué à -1.

        en revanche, ce qui les intéresse, c'est une conséquence de certaines de ces libertés: le fait de ne pas être lié à un vendeur unique, et donc de ne pas être forcé d'upgrader leurs machines/logiciels tous les N ans Ben c'est bien ça... C'est ça pour moi aussi la liberté, et non pas simplement une conséquence. Bon, ok, pas de lutte entre nous -1.
      • [^] # Auchan avec les LL ?

        Posté par  (site web personnel) . Évalué à 0.

        Quelles solutions libres ont ils adoptees ? ( pour ma culture personelle ). L'article parle seulement d'outils bureautiques, ce qui reste vague .

        "You have enemies? Good. That means you've stood up for something in your life." Winston Churchill

        • [^] # Re: Auchan avec les LL ?

          Posté par  . Évalué à 1.

          Auchan a adopté samba/ldap pour ses serveurs de fichiers departementaux.

          -L'informatique c'est simple, c'est l'homme qui est compliqué-
  • # News à trolls...

    Posté par  . Évalué à 4.

    Personnellement, je ne vois pas pourquoi, a priori, un logiciel open source serait plus (ou moins) fiable qu'un logiciel dont le code est fermé. La fiabilité dépend plutôt de ceux qui le développent, le testent, et également des outils utilisés.
    • [^] # Re: News à trolls...

      Posté par  . Évalué à 10.

      Je vois au moins deux principales raisons :

      * Il est difficile d'implémenter une backdoor lorsque les sources sont publiés, n'importe qui peut tomber dessus. Dans du logiciel closed source, cette entrée dérobée peut vivre des dizaines d'années, comme ça a été le cas dans une certaine base de donnée

      * Lorsqu'un bug est découvert, le correctif peut être écrit par n'importe qui maitrisant le langage utilisé et le cadre de l'application, dans la pratique, les trous sont souvent fermé en un ou deux jours, parfois la personne qui trouve le trou publie en même temps de correctif. Lorsqu'on a un logiciel fermé, seul l'éditeur de l'application peut produire un patch, et il lui faut généralement bien plus de temps. Il suffit de lire bugtrack pour se rendre compte que ça prends parfois des mois, certains sont si exaspéré par les délais ou l'absence de réponse des éditeurs, qu'ils finissent par publier le trou pour forcer l'éditeur à corriger.
      Le bilan est que le trou est valable quelques jours en open-source, et quelques semaines en closed-source.
      • [^] # Re: News à trolls...

        Posté par  (site web personnel) . Évalué à 2.

        Ben je suis assez d'accord avec toi : dans la sécurité délguée (celle où l'on confie à un tiers de confiance des briques de l'architecture). Il n'y a pas d'un coté l'utilisateur, et le "pirate", il y a aussi le tiers de confiance. Dans ce cas, il s'agit de l'éditeur de logiciel. Utilsateur <----tiers de confiance----> utilisateur ......................^ ..................«pirate» Les flêches symbolise la circulation des données sensibles :). En regardant se schéma, se poser la question qui à la plus de facilité à intercepter l'information, et comment savoir qu'un tiers de confiance vous a trahi si il le fait? En fait on se protège des personnes indélicates en général pas uniquement des "pirates" qui par un beau tour de passe-passe sémantique nous fait oublier que le tiers de confiance peut être indélicat: il y a des gens malhonnêtes partout. L'éditeur de logiciel est à la sécurité ce que les cabinets d'audit sont à la finance : des personnes à qui l'on est sesné faire confiance...et avez vous confiance dans les cabinets d'audit?
  • # Code ouvert = code simple et propre

    Posté par  . Évalué à -4.

    Je pense qu'un code partagé et libre est plus facile à lire et à travailler qu'un code proprio.
    Les commentaires sont plus nombreux, plus pertinents.

    Y'a qu'a voir la gueule d'une chambre d'informatitien : c'est un vrai bordel (espace proprio)

    Alors que son site ou son ftp ou même son disque dur : c'est rangé, ça trouve ce qu'on veut en peu de temps (espace libre et partagé)
    • [^] # Re: Code ouvert = code simple et propre

      Posté par  . Évalué à 0.

      Comment peux-tu savoir qu'un code proprio est mieux commente qu'un code partage , a par en ayant acces aux sources !!!!
    • [^] # Re: Code ouvert = code simple et propre

      Posté par  . Évalué à 0.

      uh ? Tu crois vraiment ce que tu dit là ? Excuse moi mes il y a des projets libres où c'est un beau bordel. Et dans les entreprises où un groupe nombreux travaille sur un projet, ce dernier est forcement propre. Bref, ce que tu avance n'a aucun fondement.
      • [^] # Re: Code ouvert = code simple et propre

        Posté par  . Évalué à 2.

        C'est vrai que j'ai oublié de parlé de la reprise du code. Si ton code n'est pas repris il restera dans le même état. Je pense qu'un code repris par un nombre de personnes important aura tendance à être plus commenté et moins bordélique. Un code proprio doit obligatoirement ne pas passer par n'importe quelles mains (sinon y'a plus trop de confidentialité). Il peut être bien commenté mais je pense d'une façon moins simple à comprendre. En général dans du code proprio le code est comprehensible que par les personnes du milieu ...
      • [^] # Re: Code ouvert = code simple et propre

        Posté par  . Évalué à 0.

        >Excuse moi mes il y a des projets libres où >c'est un beau bordel.

        il y a aussi des projets propriétaires où c'est vraiment n'importe quoi. On s'en aperçoit lorsqu'ils passent à l'occasion sous licence libre.
        Par exemple, si on jette un oeil sur n'importe quel fichier source de http://opencascade.org(...) on voit tout de suite que tout est imbriqué dans un sac de noeuds invraisemblable, écrit dans un dialecte spécial de C++ utilisant un système de macros (évidemment les templates n'existaient peut-être pas à l'époque, maintenant, il n'y a plus qu'à tout réécrire).
        Donc, ce n'est pas parce-qu'un logiciel est propriétaire et donc écrit par des professionnels que la qualité est au rendez-vous. D'ailleurs sur mon PC au boulot (une antiquité Pentium Pro 200Mhz) simplement installer les sources a pris trois quarts d'heure, et je vous souhaite bon courage si vous voulez simplement voir l'évolution des fichiers "headers" (répertoire inc) en utilisant l'interface cvsweb. Il y a tant de fichiers (douze treize mille, une paille) que je n'y suis jamais arrivé.
        De même on retrouve des usines à gaz ingérables venant de chez IBM (ICU) et je ne suis pas étonné que Eclipse (54Mo d'après une autre nouvelle!) ne soit pas accompagné d'un README donnant les quelques pièges de l'installation de base.
  • # Ca gaze pas

    Posté par  (Mastodon) . Évalué à 7.

    Il y a un ou deux trucs qui clochent dans cet article :
    - je ne comprends pas l'amalgame entre sécurité et stabilité :
    En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
    - [...] il affirme que, mathématiquement, les programmes en sources ouvertes seraient aussi sûrs que les systèmes dont les sources sont fermées; sous entendu : ils étaient considérés moins sûrs jusque là ! Bizarre.
    - nous nous attendons à ce que les programmes ouverts et fermés évoluent tous vers plus de fiabilité : il est payé combien pour trouver une telle revélation ?
    • [^] # Re: Ca gaze pas

      Posté par  . Évalué à 3.

      C'est clair. L'impression que donne cet article c'est que le gars il sort des jolies formules mathématiques pour épater la galerie, mais en fait il se base sur des constatations que la plupart des gens on déjà remarquer, et en plus ça reste assez subjectif (enfin je trouve).
      ça en devient presque drôle. 13 pages pour en arriver là, y'en a qui savent vraiment pas quoi faire de leur temps.
      • [^] # Re: Ca gaze pas

        Posté par  . Évalué à -2.

        13 pages pour en arriver là, y'en a qui savent vraiment pas quoi faire de leur temps. Ben si, ils sont payés pour ça.
  • # Bug = insecurite ?

    Posté par  (site web personnel) . Évalué à 10.

    Bonjour,

    A la lecture de l'article, j'ai l'impression que ce chercheur confond instabilite et securite. Il dit avoir mesure au bout de combien de temps un logiciel plante, qu'il soit libre ou proprio. Et ces temps seraient a peu pres egaux (d'apres lui). Soit, admettons.
    Mais la ou c'est fort, c'est qu'il en conclu que le niveau de securite des logiciels libres et proprios est donc equivalent. Ca ne vous choque pas ?

    Prenons un exemple : Mozilla et IE.
    IE plante, ok. Mozilla plante aussi, ok. S'ils plantent autant l'un que l'autre, peut-on en conclure qu'ils mettent en peril la securite du systeme avec la meme importance ? Voyons, un peu de serieux.

    Moi aussi je peux conclure de chouettes choses : IE et Mozilla mettent autant de temps a planter, donc les programmeurs qui les ont concu mangent autant de pizzas les uns que les autres.
    ;-)))

    Yann.
    PS : Je n'ai indique que Mozilla plantait aussi souvent que IE uniquement pour le raisonnement, en fait je n'en sais absolument rien.
    • [^] # Re: Bug = insecurite ?

      Posté par  (site web personnel) . Évalué à 10.

      Bah en fait, ce n'est rien de plus que le bon vieil adage : « les chiffres, on leur fait dire ce qu'on veut ». Plus précisement, un test effectué sur de mauvais paramètres donnera des résultats erronés. Une autre étude aurait pu prendre d'autres paramètres n'englobant pas la totalité du problème. Exemple stupide : « d'après notre étude menée sur 15684327356 machines, l'uptime des machines utilisant des LL est en moyenne 45,2 % meilleur que celui des machines tournant avec du logiciel propriétaire ». Une telle étude déclencherait illico une cascade d'approbations, de hourras et autres « enfin, des gens qui ont tout compris » sur DLFP, et des protestations véhémentes à Redmond. Mais elle serait à côté de la plaque elle aussi, malgré le gros nombre de machines qui semblerait prouver l'affirmation. Par exemple en ne discriminant pas selon l'usage des machines (quel intérêt de savoir qu'une tétrachiée de machines Linux ont un bon uptime si elles ne servent que trois pages Web par jour ?), en ne prêtant pas attention au problème de la sécurité (qu'il soit d'ordre technique ou humain, genre « l'admin est une purge qui ne sait pas configurer son serveur donc celui-ci est par terre une fois par semaine »), etc. Un seul paramètre (comme ici, le temps de fonctionnement sans plantage, sorte de MTBF logiciel) n'a aucun intérêt statistiquement parlant une fois sorti de son contexte. Il n'empêche qu'avec tout ça, on ne sait toujours pas si les LL sont plus sûrs que le proprio. Mais c'est peut-être une question caduque : au vu de l'adoption du libre de plus en plus courante en entreprise, ce qui est certain, ce que le niveau de (stabilité|sécurité|etc.) du libre est très suffisant pour les décideurs pressés. Et c'est AMHA le plus important (pour le moment)... PS : et au fait, Yann, tu l'as implementé sur ton site, ob_gzhandler ? :-)

      Envoyé depuis mon PDP 11/70

  • # Oh, un troll !

    Posté par  (site web personnel) . Évalué à -1.

    Et avec plein de chiffres partout qui ne veulent rien dire... Décidément, voilà une news bien digne de son auteur. Après la pollution de la tribune, celle des commentaires, adolphos se met à celle des news ? (hop -1)
  • # Message aux modérateurs du schtroumpf à lunettes

    Posté par  . Évalué à -1.

    Puisque personne n'a l'air de réagir, c'est moi qui m'y colle... "constitue également être un atout", ça n'est pas du français. Je ne peut même pas faire de supposition sur le sens qu'on a voulu donner à l'origine. C'est pas demain la veille qu'on pourra montrer ne serait-ce que la page d'accueil de linuxfr à nos décideurs pressés. Enfin au moins cette faute ne pouvait pas être évitée avec un simple ispell, c'est déjà un progrés. (-1, donc pas la peine de voter(Ben quoi, on peut toujours essayer, non?))
  • # Une seule chose à dire

    Posté par  . Évalué à -5.

    OPEN BSD bon ca a un peu moins d'impact maintenant, mais ca marche bien quand même. -1 parcequ'on arrète pas un troll en en lançant un autre Kha --- on aurait pu dire MILLENIUM BUG aussi
  • # Si j'ai bien compris ..

    Posté par  . Évalué à -3.

    Il compare le fait qu'un logiciel open source permet de trouver des bugs rapidement, et donc de les corriger/exploiter tôt, au fait qu'un logiciel closed empêche de trouver les bugs de suite et donc d'en profiter/corriger ? Il trouve donc égal un logiciel facilement débuggable (çà se dit ?) et un logiciel qui pourrait bien planter et faire perdre tout le boulot fait dessus ?? C'est moi ou un truc cloche là ?
  • # Il y a sécu et sécu

    Posté par  . Évalué à 4.

    Bon, je pense pas que ce rapport soit completement faux. C'est vrai qu'ils sont nombreux les logiciels propriétaire à s'imposer un système de qualité important au niveau de la sécurité. Que se soit Oracle, SAP, SUN, ou autre, les éditeurs se font de la pub bien souvent sur la sécurité qui découlerait de l'utilisation de leurs softs. Ce n'est pas parce que MS a des trous que tous les éditeurs sont des manches.
  • # Méthode par l'absurde, absurdité de l'article.

    Posté par  (site web personnel) . Évalué à -2.

    Comme je trouve cet article completement absurde, je vais vous écrire une petite démonstration: Écrivez un programme en C. Maintenant, distribuez d'un côté ce programme en source ouverte, et de l'autre ce programme compilé. Lequel a le plus de bugs, de failles de sécurité ? On parle bien du même programme, de la même version ... Il est facile de comprendre que la qualité d'un programme ne s'établie pas par son modèle close, ou ouvert, mais plutôt par ce qui se passe en post développement. En post développement, pour le propriétaire: - Une seule source de mise à jour, de correction, avec obligation de résultat Concretement, on attend que la faille, ou le bug touche assez de personnes, que la boite considère qu'il mérite d'être corrigé, ou de proposer un produit alternatif. En post développement pour l'Open Source: - Multi-source: Tout le monde est succeptible d'être un correcteur, aucune obligation de résultat. - On peut corriger soit même le bug, et la faille. Concretement, plusieurs solutions peuvent être apporté au même problême, la meilleur selon chaque cas est gardé. Il n'y a pas d'utilité de remplacer un logiciel par un autre, si celui ci a été corrigé. @+ Code34
  • # Qui a lu cet article ? (lien vers la conlusion en Français)

    Posté par  (site web personnel) . Évalué à 10.

    Quand je lis les commentaires de certains, je me demande s'ils l'ont seulement téléchargé ... Enfin bon, ci-joint la conclusion traduit par mes soins (il y a juste une expression que je ne sais pas traduire que j'ai laissé telle quelle). http://minimum.inria.fr/~raynal/conclusion.html
    • [^] # Re: Qui a lu cet article ? (lien vers la conlusion en Français)

      Posté par  (site web personnel) . Évalué à 1.

      L'auteur centre son débat sur un probleme fonctionnel. Ce qui n'a aucun sens. Le logiciel propriétaire n'est pas propriétaire par exigence de sécurité, fiabilité, qualité etc ... Le logiciel propriétaire comme son nom l'indique appartient entièrrement à quelqu'un, pour que cette personne puisse en retirer l'intégralité du bénéfice (def du capitalisme). Sa démonstration est soumise au mythe de la caverne de Platon. L'auteur essaie de donner des explications rationnelles aux conséquences d'un phénomène, qu'il ne peut concevoir. La différence fondamentale entre un programme propriétaire et un programme open source, c'est que le programme propriétaire est perrissable. Il a une période de vie, tout comme un produit. Cela implique de part sa définition que celui-ci ne doit pas être exempt de bugs, de failles de sécurité pour être renouvellé. Que la valeur pécunière du programme diminue dans le temps en fonction de l'évolution techno etc [..] Quand l'équipe de développement abandonne le programme, ou que celui-ci ne fonctionne plus sur sa plateforme, le programme ne vaut plus rien. Le programme Open Source, n'est pas un produit et n'est pas perrissable. Le projet peut etre corrigé, abandonné, repris, réutilisé dans d'autres projets cela n'en diminue pas sa valeur. La sécurité, les failles, les bugs sont des instruments de consommation, ils poussent les gens à acheter des produits pérrissables. Si le produit était parfait, ça serait en même temps la mort du logiciel propriétaire, qui ne pourrait le remplacer par un autre produit, et dont la valeur tendrait de plus en plus vers zéro. @+ Code34
      • [^] # Tu crois vraiment à tout ce que tu as écrit là ???

        Posté par  (site web personnel) . Évalué à 2.

        L'auteur centre son débat sur un probleme fonctionnel. Ce qui n'a aucun sens. Ah ? Un logiciel n'a donc pas besoin d'être fonctionnel ? Tu m'excuses, mais tant qu'à faire, je préfère qu'il remplisse les objectifs que je veux... sinon, je passe à un autre. Le logiciel propriétaire n'est pas propriétaire par exigence de sécurité, fiabilité, qualité etc ... R. Anderson ne dit pas autre chose ... Tu as lu l'article ? Au moins la conclusion ? Sa démonstration est soumise au mythe de la caverne de Platon. Tu viens de passer ton bac et il te restait des citations à placer ? ;-) Tu parles de la démonstration de qui (Sa) ? Tu peux décoder stp ? L'auteur essaie de donner des explications rationnelles aux conséquences d'un phénomène, qu'il ne peut concevoir. Pareil, si tu pouvais décoder ? La différence fondamentale entre un programme propriétaire et un programme open source, c'est que le programme propriétaire est perrissable. Tu as une "fortune" qui te donne des phrases comme ça ? Ou tu utilises peut-être le pipotron ? Bien sûr que tous les logiciels ont une période de vie, qu'ils soient propriétaires ou libres. C'est complètement illusoire de croire que :
        1. les logiciels proprio sont perrisables : eux aussi, ils suivent des évolutions, des refontes avec des personnes qui travaillent sur une version, puis partent du projet, qui est alors repris en main par qq1 d'autre. Ca ne te rappelle rien ? Il n'y a pas que les produits de MS comme logiciels propriétaires. Va voir chez Thales, Matra ou des boîtes plus petites : toutes utilisent des gros logiciels dont tu ne soupçonnes même pas l'existence (et moi non plus d'ailleurs ;-) car ils sont dédiés à des tâches bien précises. Et pourtant, ils tournent ;-)
        2. pour un "projet libre" qui fonctionne, combien y en a-t-il qui meurent ? L'intérêt du libre, c'est le foisonnement des idées, des contributions, des échanges. Cependant, il ne faut pas se leurrer non plus : il y a bcp de projets qui naissent, bcp moins qui grandissent, et encore moins qui persistent. Bien sûr, tu vas me parler d'Apache, de Sendmail/Postfix/qmail (licence douteuse) ou d'autres grands noms, mais pour tous ceux-là, combien d'autres projets sont morts ? De ce point de vue là, cad par rapport à l'efficacité, tu m'excuseras, mais je pense que le proprio s'en tire mieux que le libre.
        Bon, j'arrête là ... Je suis dépité ...
        • [^] # Re: Tu crois vraiment à tout ce que tu as écrit là ???

          Posté par  (site web personnel) . Évalué à 0.

          Ah ? Un logiciel n'a donc pas besoin d'être fonctionnel ? Tu m'excuses, mais tant qu'à faire, je préfère qu'il remplisse les objectifs que je veux... sinon, je passe à un autre.

          Tu n'as pas compris. Avant que l'on parle de fonctionnalités, il y a une multitude d'étapes, qui ne sont pas du ressort du développeur. Je pense notamment aux études de besoins, faisabilité, démarche commerciales etc [..]

          Le mythe de la caverne illustre parfaitement cette article, ou l'auteur a tenté d'expliquer de façon rationnelle, un phénomène qui ne le concerne pas, dont la cause lui échappe.

          Celui ci n'est qu'un maître d'oeuvre, il execute ce qu'on lui demande, et le fait au mieux. Il va donc différencier le propriétaire, du logiciel source ouverte d'un oeil critique et technique. Alors que la solution à son problême est extérieur au domaine qu'il étudie. C'est d'ailleurs pour ça qu'il conclue de façon vaseuse.

          On ne peut pas juger de la qualité, fiabilité d'un programme du fait qu'il soit Open Source, ou propriétaire.

          "les logiciels proprio sont perrisables : eux aussi, ils suivent des évolutions, des refontes avec des personnes qui travaillent sur une version, puis partent du projet, qui est alors repris en main par qq1 d'autre."

          Oui tu décris le cycle de vie d'un produit qui se mesure sur une échelle à deux références (le temps, les ventes) [..] Un produit est par définition pérrissable, il traverse durant sa vie 4 phases:

          lancement (peu de vente), croissance(bcp de vente, bcp de profit), maturité(les ventes stagnent), déclin(les ventes diminuent)

          Il est possible que durant la phase de déclin, on fasse une refonte du produit pour le relancer.

          Le programme propriétaire est soumis à ces cycles, tout comme n'importe quel produit. Lorsqu'il n'y a plus de ventes, le programme n'a plus de raison d'être commercialisé, amélioré, produit, développé etc [..]. Sous license, et compilé le programme meurt. Je pense que de nombreux systèmes d'exploitations peuvent illustrer ces propos.

          Un programme peut être très fonctionnel sans pour autant faire de ventes, ce qui peut lui aussi l'amener à disparaitre. Prenons beos comme exemple [..] Beos est maintenant développé en Open Source, car le programme qui apporte de nombreuses fonctionnalités ne devait pas selon ses utilisateur disparaitre (comme un produit perrissable).

          pour un "projet libre" qui fonctionne, combien y en a-t-il qui meurent ?

          Economiquement parlant, le logiciel libre ne peut pas être considéré comme un produit. Son cycle de vie n'est pas dépendant des ventes, du temps, ni de l'économie d'échelle.
          Le code source peut être réutilisé dans n'importe quel projet, sans l'accord des propriétaires tout en respectant la license, sans être conditionné par les ventes et le temps.
          La mort d'un logiciel libre s'illustre par la disparition de son code source, et non pas par le fait que personne ne l'achète, ne l'utilise, ou le développe. Sinon, on aurait pu annoncer que "Le Hurd" était mort avant 1998.

          Il y a donc une véritable révolution économique, qui est en route, ou d'un côté les grands de l'industrie informatique vendent des produits pérrissables normalisés(non réutilisables) en faisant mirroiter le spectre de l'insécurité pour pouvoir vendre leurs prochains produits (plus performant, plus sécurisé), et de l'autre des programmes libres non perrissables (et réutilisable) qui tendent à s'ameliorer par la volonté des contributeurs de modeler le programme à leurs besoins.

          Une personne peut très bien considéré que la sécurité du programme n'est pas une priorité dans l'utilisation de son programme. Que ce programme dans 20 ans doit toujours être la, et qu'on puisse le faire évoluer.

          @+
          Code34
          • [^] # Re: Tu crois vraiment à tout ce que tu as écrit là ???

            Posté par  (site web personnel) . Évalué à 0.

            Je crois vraiment que tu ne connais pas de logiciels propriétaires autres qeu ceux que tu peux trouver dans certains grands magasins, cad les jeux et les "produits" de MS.

            Alors puisque tu sembles attacher à Platon, je vais te libérer de tes chaînes (mais rien de plus car ton âme doit s'élever par ta volonté) : il existe d'autres types de logiciels propriétaires (si, si :-)

            Tu te leurres car les seuls logiciels proprio que tu voies sont ceux disponibles dans les rayonnages das grands magasins. Mais tous les jours, des centaines d'autres évoluent. Et ils évoluent tant qu'ils correspondent à un besoin, à un désir (pour revenir sur Platon :)

            La mort d'un logiciel libre s'illustre par la disparition de son code source, et non pas par le fait que personne ne l'achète, ne l'utilise, ou le développe. Sinon, on aurait pu annoncer que "Le Hurd" était mort avant 1998.

            C'est très poétique, pour ne pas dire grandiloquent, mais je ne suis pas du tout d'accord avec ça.
            si on suit ton raisonnement, on peut considérer que les logiciels open source sont immortels ? Super ! La première distribution Linux dont je me suis servi était une slackware 0.99 ... et je suis bien content que les choses aient évoluées. Je dotue que personne ne se serve encore ne serait-ce que du kernel de cette distribution...

            Il y a donc une véritable révolution économique, qui est en route, ... à s'ameliorer par la volonté des contributeurs de modeler le programme à leurs besoins.

            Ca, c'est grandiloquent !!!
            Parce que tu crois que le grand capital (le logiciel propriétaire) réussi à fournir à tout le monde ses produits, même si ceux-ci ne correspondent pas à des besoins ? Certes, ça arrive, par exemple avec la course au matériel toujours plus performant pour les neuneu qui veulent avoir la dernière carte graphique 256bits avec 512Mo de mémoire et qui fait le café. Ou encore avec le téléphone portable dont pratiquement personne n'a réellement besoin.

            Mais tu oublies par exemple le boulot des SSII dont le travail est complètement inverse. Un client vient les voir, dit "j'ai besoin d'un logiciel qui fait ça et ça", et la SSII le développe (attention, ceci n'est certainement pas une apologie des SSIIs).
            • [^] # Re: Tu crois vraiment à tout ce que tu as écrit là ???

              Posté par  (site web personnel) . Évalué à -1.

              Tu te leurres car les seuls logiciels proprio que tu voies sont ceux disponibles dans les rayonnages das grands magasins. Mais tous les jours, des centaines d'autres évoluent. Et ils évoluent tant qu'ils correspondent à un besoin, à un désir (pour revenir sur Platon :)

              Non, je ne me leurre pas. J'ai travaillé moi même en SSii, sur un programme propriétaire sur un système spécifique (prologue). Ce programme est vendu à une minorité de clients, et répond à une demande très spécifique. Si la boite meurt, le programme meurt aussi. Il y a des parades contre ce genre de prôblemes: le décompilateur, mais on ne parle plus alors de droits d'auteurs, de copyright, et la notion de propriétaire perd tout son sens etc [..]

              Je dotue que personne ne se serve encore ne serait-ce que du kernel de cette distribution...

              Et bien, c'est assez marrant que tu dises ça, car j'ai choppé la semaine dernière sur le ftp de kernel.org, la première version de Linux supporté par Minix. Je souhaitais regarder le fonctionnement du source qui a motivé autant de contributeurs.

              ftp://ftp.kernel.org/pub/linux/kernel/Historic/(...)

              Mais tu oublies par exemple le boulot des SSII dont le travail est complètement inverse. Un client vient les voir, dit "j'ai besoin d'un logiciel qui fait ça et ça", et la SSII le développe (attention, ceci n'est certainement pas une apologie des SSIIs).
              Oui ça correspond à la description du cycle de vie d'un produit. Quand il y a des ventes, il y a un produit. Quand il n'y a pas de ventes, le produit est mort.

              @+
              Code34
    • [^] # [HS] Traduction

      Posté par  . Évalué à 5.

      Although TCPA is presented as a means of improving PC security and help- ing users protect themselves, it is anything but Bien que TCPA soit présenté comme un moyen d'améliorer la sécurité d'un PC, c'est tout le contraire. Effectivement y'a que 67 hits sur l'article ... -1 HS
      • [^] # Re: [HS] Traduction

        Posté par  (site web personnel) . Évalué à 5.

        merci pour la traduction, j'ai mis à jour :) Le nombre de hits de l'article est maintenant de 77... et 22 pour la conclusion.
        • [^] # Re: [HS] Traduction

          Posté par  . Évalué à 1.

          Il faut reconnaître que la présentation de la news est très partielle et ne rend pas vraiment compte de l'ensemble de la problématique.

          Cela étant, j'avoue avoir la flemme de lire l'article complet qui me fait tout l'air d'enfoncer des portes ouvertes : ça vaut vraiment le coup ?

          PS : on pourrait traduire plus élégamment it is anything but par il n'en est rien, mais je chipote...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.