plutôt que s'embourber dans un conflit juridique au dénouement long et hasardeux.
Pourquoi serait-il hasardeux s'ils sont sûr de leur droit?
Désolé, mais je ne crois pas qu'un seul acteur autour de la téléphonie soit un bon samaritain œuvrant pour le bien du monde.
Donc ton raisonnement est le suivant : c'est bien fait pour eux de se faire racketter car se sont des vilains ?
En partie, oui. En fait, non. Et vive ma normandie natale… Non, ce n'est pas bien fait de se faire racketter s'ils sont pas gentils. Mais, s'ils acceptent de se faire racketter, c'est juste parce qu'ils sont moins forts que l'autre, pas parce qu'ils sont gentils. Si la situation avait été inversée, je n'ai aucun doute que ce serait eux qui feraient du racket.
Alors, ok, c'est un probable procès d'intention… mais il reste encore assez d'idéalisme dans mon cœur (gros défaut, je sais) pour considérer qu'ils ne sont pas a plaindre.
mais comme tu dis toi même Google est un très gros contributeur au noyau Linux et à d'autres projets open source également. Je t'invite encore une fois à lire la page des commits du noyau , tu verras par toi-même que Google propose quatre fois plus de patchs que nos amis de Microsoft et que ces patchs touchent des domaines très variés comme la pile TCP, le PCI les architures ARM et PowerPC, l'USB, les cgroups, …
Pour moi, un très gros contributeur, c'est juste un contributeur qui publie régulièrement des patch. Ça n'a, contrairement à ce que j'ai pu laisser ressentir (mea culpa d'ailleurs) rien à voir avec la quantité de lignes de code. Ceci dit, je crois (et je ne vais pas vérifier, pour deux raisons: 1) perte de temps 2) remise en question difficile) que les plus gros contributeurs au LL sont des gens non affiliés. Un logiciel libre qui aurait une personne (physique ou morale) comme contributeur majeur, c'est typiquement le genre de logiciel libre que j'essaierai d'éviter en milieu professionnel, car il aurait peu de potentiel de pérennité.
Qualifier google comme étant le plus gros c'est comme me coller une gifle, même si, pour le kernel linux, c'est une possibilité éventuelle (bien que douteuse).
Considérer n'importe quel contributeur comme insignifiant, c'est pareil, ça me vexe, parce que les contributeurs ça me semble toujours important, et pas que pour le code, mais aussi pour l'image, la réputation. Les contributions, on ne le dira jamais assez, ce n'est pas que le code putain!
Pouvoir dire que MS à contribué à un logiciel, c'est quand même intéressant non? Ça donne quand même une sacré crédibilité, non?
D'ailleurs, si les contributions de MS sont négligeables (je n'arrive pas à me débarrasser de l'idée que tu les considères comme tels), alors que dire de la pléthore d'individus qui font des patchs de 4-5 lignes à des logiciels quasi-anonymes une fois tous les 36 du mois?
MS est une personne, morale certes, ces gens-la sont chacun une personne également… physique? Pas si sûr: prouves-le.
Enfin Android n'est pas juste un noyau Linux, c'est aussi des tas de bibliothèques, donc des millions de lignes de codes diffusées sous des licences open source.
Soit. Donc, il faut considérer l'ensemble de la contribution des deux entreprises à l'open-source.
Hum… je suis embêté…. MS à, de mémoire, publié les spec' de .NET, peut-on considérer cela comme un geste en faveur du libre, selon toi?
Selon moi, oui, mais je suis conscient que l'on a des opinions différentes sur le sujet.
Je passerai sur les formes indirectes de contribution, sur lesquelles à mon avis MS à plus contribué au libre que Linux. Si tu veux m'y engager, ce sera volontiers, mais il faudra au préalable définir pas mal de choses pour pas qu'on se contredise en pensant la même chose.
Je vois que tu maîtrises ton sujet sur les bout des orteils… Vois-tu il n'existe pas de licence open source NC (non commerciale), d'ailleurs Eric Raymond, a qui l'on doit notamment la popularisation du terme open source, ne pense pas du bien des licences CC. Les licences open source et libres sont totalement identiques. Tu confonds licences Creative Commons et open source.
Mais, qui a dit que Eric Raymond avait raison? Ce n'est pas mon Messie!
La FSF et Debian elles-mêmes sont en désaccord sur la notion de libre et d'open-source! La FSF est aussi, d'ailleurs, en désaccord avec les BSD.
Plus posément (mon ton était un peu sec), dès lors qu'un code source est lisible et modifiable par les utilisateurs du binaire issu de ce premier, en quoi n'est-il pas libre? Quel est le but réel du libre?
Oui, je remets en question le fait que les modalités financières soient liées aux libertés des utilisateurs. Je remets aussi en question le fait qu'il soit possible de publier n'importe quel type de logiciel libre et de pouvoir en vivre dans la pratique.
et de leur demander des licences sur des prétendus brevets logiciels bidons. Mais bon Microsoft ne donne rien en retour.
Si. En retour, il leur fout la paix.
Tu vas sûrement m'accuser de me croire dans le monde des bisounours, et vu le ton de notre échange je ne t'en voudrai pas. Mon opinion, c'est que pour la majorité des boîtes, si elles ne vont pas jusqu'au procès, c'est qu'elles savent qu'elles perdront. Pas nécessairement sur les brevets en question, mais sur d'autres, des conflits qui s'éveilleront à la moindre velléité de rébellion.
Et avant que tu ne le demandes, non, je n'approuve pas.
Seulement, force est d'admettre que dans la situation présente, seules les nations arabes et les russes semblent avoir les tripes (ou l'obligation) d'avoir un dirigeant capable de dire merde aux USA. Enfin, c'était la dernière fois ou j'ai essayé d'ouvrir un œil (fautif, donc).
Tu demandes souvent à tes amis c'est quoi qu'ils utilisent comme OS sur leur téléphone?
Moi, quand ça cause télépĥone, je sors triomphalement mon truc à touches, je le jette bien fort par terre en disant "vous voyez, dans 3 ans, vous cracherez à nouveau 300 balles, moi, même si je le claquais tous les 2 mois par terre, il me coûterait moins cher, en imaginant qu'il soit pété!".
Bon, j'exagère un poil, mais sérieux, windows Desktop c'est juste 93% de PdM selon ce site. Pourtant, tout le monde semble utiliser windows autour de moi, et je connais plus de 93 personnes :) (d'autres sites rapportaient un taux plus dans les 80% de windows, mais flemme de chercher)
Conclusion: il suffit de connaître 100% des mauvaises personnes pour avoir un énorme biais.
Une licence du type CC0 ou unlicense est équivalente au domaine public dans pas mal de pays non?
Peut-être.
Moi, je suis français et, si je plaçais un poême sous CC0, il ne serait pas du tout dans une licence équivalente au domaine public, alors que si je plaçais un code source sous la même licence, il en serait en effet très proche.
Je m'explique.
Dans le droit français, la PI est divisée en deux:
le droit d'auteur, qui est partiellement incessible, y compris volontairement, et est héritable.
les brevets, qui sont vendables.
Le peu que j'en sais (surtout à cette heure (déjà que je dois me relire avec 3s d'intervalle pour pas faire trop de fautes… n'espères pas une véracité juridique absolue, c'est pire que de l'ASM x86 ces trucs la!)), c'est que le droit d'auteur couvre les créations imaginaires, telles que les romans, musiques, poésies… et est séparé en 2:
le droit moral, incessible, qui est légué aux descendants et garantit le droit de faire respecter l'œuvre. En gros, si demain j'écrit un truc tout pourri en reprenant Maupassant, et que ses héritiers me refusent le droit de publier, je n'aurais pas le droit. Ce droit est notamment limité par le droit de satyre, de caricature, ainsi que par le droit de citation (en France, hein, j'insiste). Autrement dit, je peux très bien parodier "le bout de ficelle" ou en citer une partie, sans avoir de problème avec les héritiers de Guy.
le droit d'exploitation, qui lui permets d'accorder l'exploitation commerciale d'une œuvre à autrui, par exemple un groupe de musique qui laisse la SACEM vendre son œuvre.
Alors que le droit des brevets lui nécessite, en France, j'insiste lourdement, une application viable d'un système industriel ne faisant pas partie de l'état de l'art (pas sûr de l'expression…).
Dernière chose: encore une fois, ce sont des souvenirs vagues de cours d'informaticien, pas de légiste. Et je rappelle qu'il ne faut surtout pas croire ce que l'on lit sur l'internet, surtout quand c'est moi qui l'écrit :)
D'ailleurs, tu remarqueras qu'il y a pas mal de blancs dans mon résumé: désolé, je ne peux pas faire mieux (1 chimay, 4 verres de whisky, et plus de 5 ans depuis les cours, ça aide pas…).
Il y a une marge entre "se passer de contributeurs" et "se passer de quelques contributeurs", non?
Bah, ok, désolé d'avoir attaqué ton raisonnement par l'absurde, mais sur l'instant j'avais vraiment lu le sens littéral.
Pour ce qui est des brevets et, surtout, de la PI… ma position est très claire dans mon esprit, et ma façon de l'exprimer est généralement la suivante:
Les lois relatives à la PI sont, de base, une bonne chose. Elles permettent qu'un petit inventeur (ou auteur, je relie l'invention et l'imagination) puisse vivre de ses apport à l'humanité malgré sa faible puissance économique en lui garantissant une exclusivité temporaire.
Les problèmes que l'on à, actuellement, sont que:
* 1: cette protection devrait uniquement être acceptable si l'auteur/inventeur publie ses sources au moment du dépôt. De façon à ce que, s'il lui arrivait malheur, les sources de l'évolution ne soient pas perdues.
* 2: cette exclusivité est trop longue et, pire, s'est étendue à sa famille, qui n'est en rien impliquée dans le progrès: que l'individu à l'origine d'un progrès en vive mieux est moral (selon moi), que cela soit légué à ses descendants implique de privilégier des gens par rapport à leur naissance.
C'est faux.
La GPL est considérée comme libre, et on ne fait pas ce que l'on veut avec la GPL: si on distribue le logiciel, on est OBLIGÉ de distribuer le code source. Il s'agit bel et bien d'une restriction.
D'autres licences, telles que les licences de type BSD, sont quant à elle bien plus permissives.
Et puis, c'est un sujet très complexe, tellement que des acteurs majeurs du libre ne sont pas d'accord entre eux. J'invoque Debian qui considère la licence utilisée pour la documentation de GDB comme non libre, cette dernière licence étant produite par la FSF et… interdit certaines modifications.
Et je ne parle pas ici du fait que, selon la nations dont tu es titulaire de la nationalité, la loi peut t'interdire de déposer ton œuvre dans le domaine public. C'est mon cas, à moi, en France, si je ne me trompe pas. Hors, seul le domaine public permets une liberté à 100% avec le travail intellectuel d'autrui. Seule le domaine public est réellement, 100% libre (c'est à dire, n'interdit strictement rien).
Je ne suis pas trop sûr de savoir ce que tu veux faire en fait.
Si tu écrits un daemon, le mieux me semble de t'assurer que ton daemon se méfie de l'OS comme de la peste (en fait, l'OS et tous les processus externes doivent être considérés comme des utilisateurs, et donc pouvant dire de la merde, pour une sécurité maximale), et vérifie tous les pré-requis au minimum à l'initialisation. Dans le cas d'un outils de sécurité, tu devras aussi t'arranger pour chiffrer la RAM, mais, honnêtement, je n'ai jamais creusé. Sûrement un truc bien pénible à faire, et certainement pas la 1ère cause de problèmes.
Tout ça est souvent plus simple à faire dans le code exécutable plutôt que par le système d'init: il suffit de vérifier chaque retour de chaque fonction d'I/O pour être sûr que l'I/O s'est bien passée. C'est chiant, mais bon… Sinon, il y a les exceptions, mais c'est à éviter comme la peste si tu ne codes pas un binaire unique (édition des liens statique): il se pourrait que l'API ou l'ABI varie avec le temps, amenant des bugs particulièrement mesquins. La contrepartie d'une édition de liens statique, c'est un binaire potentiellement plus gros. Dans les faits, j'ai plus constaté un binaire plus petit… L'autre problème, c'est la difficulté de mise à jour. Elle ne se pose que peu pour un logiciel libre, surtout que de nos jours les CPU sont des monstres, mais pour un logiciel fermé, c'est différent.
Si tu ne peux pas, ou ne veux pas, vérifier tous les pré-requis correctement, alors tu te dois au minimum de les indiquer dans la doc… enfin, si tu prétends être fier de ton œuvre. Pour moi, soit le code vérifie de manière explicite les pré-requis, soit la doc les spécifie. Et l'idéal, c'est quand les deux sont réunis (mais, c'est rare, parce que c'est déjà chiant d'en faire un, alors les deux… argh!).
Si tu écris un système d'init, alors… hum, bon courage, mais dans ce cas tu sais probablement déjà ce que tu fais, ou alors tu cherches à apprendre pour le fun, donc pas de soucis.
Le poisson d'avril, c'est pas simple, il faut un truc assez choquant, tout en ne l'étant pas trop et en étant assez étayé de fausses déclarations de personnalités célèbres…
La baleine en question, trop grosse pour nous, passerait certainement présentée à des gens intéressés mais pas passionnés par le sujet :)
Tout ça me rappelle d'ailleurs que je marchais régulièrement dans ceux de neliger, quand progboards existait encore (j'étais passionné, mais encore plus inculte qu'aujourd'hui)…
Quel autre site peut se vanter de parler de couches lavables, de scientifiques en Antarctique, d'ornithorynques, de modèles économiques valant des milliards de milliards, de rien et de la nature du comique de répétition, et de méta-parler de la modération ?
Y'en a plein, mais souvent les gens savent pas de quoi ils parlent. Alors qu'ici, il ils le savent presque!
C'est un poisson? Parce que si ce n'est pas le cas, c'est en effet gênant et inquiétant. Pourtant, il y a les journaux ou l'on peut s'exprimer à volonté, je vois pas l'intérêt de pourrir les modo avec des dépêches HS…
Bon, d'un autre côté, en fonction du sujet, je ne saurait pas forcément si elles sont HS: linuxfr, est-ce «dédié» à ce qui touche à linux (sujet déjà très large…), à ce qui est francophone, à ce qui est logiciel libre (selon quelle définition? DFSG ou GNU?)? Peut-être une combinaison? Dans ce cas, laquelle?
Bref, je n'oserai pas dire que je sais de quoi on est censés parler ici :)
Au moins, ce que je sais, c'est que même s'il y a du trollage, de la moquerie, des invectives, l'ambiance reste globalement bon enfant, et les participants en général sont de bonne volonté. Ceux qui ne s'en aperçoivent pas… j'espère qu'ils sont minoritaires, et je ne les comprend pas. Peut-être trop d'orgueil?
En tout cas, merci à l'équipe qui gère linuxfr, discrète mais efficace (et je ne dis pas ça à cause de la date).
Le liseré rouge a été choisi comme un symbole fort et transnational de la diversité
Ça aurait du être le blanc dans ce cas, symbole de l'impérialisme. Le rouge était plutôt celui du communisme, qui me semble un poil contraire à la diversité héhéhé
Zut, on peut pas plussoyer les commentaires supprimés par l'équipe de modération… c'est quand même bien la preuve que l'on est censurés à outrance sur ce site!
Je suis bien embêté car je trouve que ne pas mettre à jour est une faute. Je n'ai pas d'argument, c'est un ressenti.
Laisses-moi t'aider en ce cas.
Ne pas mettre à jour des correctifs de sécurité si l'on héberge des données d'un tiers (les logs inclus), c'est une faute car cela risque de compromettre la sécurité d'autrui.
D'un autre côté, mettre à jour vers une version majeure ou mineure, c'est aussi une faute si la seule raison invoquée est la sécurité, car comme tout le monde ici le sait, tout ajout de fonctionnalité ajoute son lot de bugs également.
Du coup, je trouve la politique de tuxfamily difficilement soutenable point de vue sécurité, il est connu après tout que le vieux code est bien plus sécurisé, ayant été relu par de nombreux experts. Typiquement, OpenSSL est un outils extrêmement sécurisé, et le mettre à jour pour avoir de nouvelles fonctionnalités ou de nouveaux protocoles serait une erreur. (hé ho, j'ai encore 30min!)
Le fait est que la plupart des logiciels installés sous GNU/Linux sont servis sous forme de paquets signés via les dépôts (ce qui protège d’attaques modifiant les paquets, dans le cas où les clés sont bien protégées).
Il se passerait quoi, si tu avais installé linux mint? Je veux dire, celle dont l'iso semble avoir été modifiée il n'y à pas si longtemps?
Accessoirement, tu en penses quoi des PPAs et autres mécanismes semblables, destinés à rendre l'installation d'un logiciel tiers plus facile? Il y à moins de, sinon aucun, contrôle dessus, pas vrai?
le risque est moindre que sur Windows je dirais. […]Remarque, faut quand même marquer le fichier comme exécutable
Ça, on est d'accord. Du moins, tant que l'on parle d'installation manuelle.
Il ne faut pas oublier un problème majeur: pour un langage interprété (python, sh, … mais surtout javaScript!) ce n'est pas difficile de se faire exécuter, par exemple via le navigateur. D'ailleurs, le navigateur web est probablement la 2ème plus importante source de malware… voire la 1ère, à bien y réfléchir: tout le monde l'utilise, pas juste les joueurs.
Pour le marquage en exécutable, ne pas oublier que la plupart des malwares modernes sous windows demandent à l'utilisateur le droit de s'exécuter… Ils feront pareils sous linux (même si oui, du point de vue sécurité, on est par défaut mieux lotis sous Debian que sous Windows, et j'ose espérer que toutes les distributions mères sont du même niveau).
Je ne dis pas que c'est trivial, hein, juste que c'est largement faisable, et mon but c'est de tordre le cou à l'idée super débile que parce qu'on utilise un logiciel alternatif, on est insensibles aux malwares.
Quand j'étais sous windows, j'y étais résistant aussi en fait, parce que je n'utilisais aucun logiciel mainstream, quasiment que des alternatives libres. N'empêche, rien ne prouve que personne n'attaquais ces outils (d'ailleurs, certains de ces outils me manquent, notamment les débogueurs, il n'y a que dalle de vraiment efficace sous GNU/Linux dès qu'on ne veut pas se farcir un IDE… snif… et en plus gdb aime pas clang… grrr!).
Remarque, faut quand même marquer le fichier comme exécutable, ce qui offre une (maigre) protection supplémentaire.
Le problème viens toujours de l'administration. Si l'administrateur marque le système de fichier contenant /home comme ne pouvant contenir d'exécutables, le problème est réglé. Avec les problèmes que ça inclue: l'utilisateur ne peut plus installer d'applications inconnues de l'admin.
La sécurité ça à toujours un impact sur l'utilisabilité. Windows est trop léger (mais s'est amélioré) par défaut, mais nos distrib sont, peut-être, un peu trop casse-pied (ça, ça reste un vrai débat) pour un usage lambda?
D’un autre côté, vu la diversité des distributions ça peut vite être plus compliqué
Pourquoi?
Je suis quasiment sûr que 90% des distributions Linux de bureau on bash, systemd, dkms, sudo, python 2 et 3, perl, ssh et Xorg d'installés (j'ai un doute pour netcat…). Je me trompe? Et si y'a pas Xorg, alors c'est wayland, qui a une couche de compat' de mémoire. Avec tout ça, il y a largement de quoi attaquer à l'aveugle.
Pire, la diversité des distributions Linux n'est pas si importante: combien de distrib sont juste basée sur une autre, avec un simple fichier qui change les paquets installés par défaut et un thème graphique différent? Avec aucun paquet dont la compilation ou même la configuration serait différent de l'original?
Question subsidiaire, du coup, quel est le degré de similarité entre une Debian sid et, mettons, emmabuntu (j'ai pris le nom au pif, pour la forme)? Je suis quasi sûr qu'il dépasse les 50% à l'aise, particulièrement au sujet des paquets qui forment le cœur du système.
Après tout, ce qui change le plus, c'est le bureau… la couche graphique, celle qui est tellement difficile à expliquer aux gens que l'on préfère sur les forum utiliser des lignes de commande pour dépanner les autres.
Du j’ai la sensation que c’est un peu plus compliqué sur GNU/linux
Je pense que c'est plus compliqué parce que les utilisateurs sont mieux éduqués en moyenne. Pour l'instant.
Reste que j'ai, comme déjà dit, la conviction qu'Android possède un bon réservoir à malwares. Hors, l'affirmation que je veux démonter, c'est que seul windows est victime de malwares… pardon, de virus, parce que pour les malwares c'est encore plus simple à prouver: il suffit de parler des rootkits qui servent à attaquer les serveurs.
installer des «logiciels pirates […] loin d’être le cas de figure le plus courant.
Parce que l'offre logicielle commerciale à destination des particuliers est très réduite sur GNU/linux?
La plupart des logiciels crackés que j'ai pu voir, c'étaient des jeux vidéo (ah, et winzip/rar, 'toshop et nero aussi). Sans passer par un wine arrosé d'un peu de poudre verte, ou dosbox pour les plus vieux, la majorité ne passe pas sous Linux, et même pour ceux qui passent, ce n'est pas sûr qu'ils fonctionnent bien.
Y a quoi qui vient pas des dépôts après?
Tu as oublié le plugin flash, notamment. Dans son cas, l'installateur est installé par le dépôt, mais ce n'est qu'un outil intermédiaire qui va télécharger le véritable je ne sais où. Et pour l'argument comme quoi flash serait mort, c'est de la connerie: les sites qui ne requièrent pas flash pour lire une vidéo restent une minorité de mon expérience personnelle (je dirais, à peu près 16% de ceux sur lesquels je tombe).
Reste aussi le fait qu'il existe des dépôts externes: moi j'utilise les dépôts officiels de clang, et vivaldi notamment (avant vivaldi c'était celui d'opéra). Les ubuntistes utilisent manifestement assez régulièrement les ppa, et pour les utilisateurs d'arch, il semble qu'ils aient le même type de mécanisme qui permets de prendre des paquets de source moins fiable relativement aisément. En dehors des dépôts, je joue à redeclipse, donc pas le choix pour avoir une version récente sur Debian: download manuel. 3 situations ou j'utilise du logiciel externe, 3 cas d'usages différents donc: dev', web et jeux. Ça peut toucher pas mal de monde, pas vrai?
Bref, pas convaincu que les dépôts soient la panacée.
D'un autre côté, qu'est-ce qui est le mieux: Un fichier de tableur, ou un logiciel spécialisé (vraie question)?
Et quant à trouver ledit logiciel, une recherche sur le tag autoentrepreneur mène rapidement à ce type de liens. Je ne sais pas ce que valent les logiciels indiqués dans les commentaires, et il me semble aussi qu'il y avait eu des journaux avec le même sujet, dont on peut espérer plus de fiabilité qu'un bout de tableur développé avec la Rache, ne serait-ce que parce qu'il y a plus de gens qui s'en occupent.
Du coup, ça retombe assez bien sur le commitstrip, ou le dev commence justement par chercher des solutions dignes de ce nom, et conclue sur la note qu'au final, si au lieu de faire son propre bricolage pour un outil somme toute important (la compta me semble un truc important quand on est a son compte), le choix avait été d'utiliser un véritable logiciel, il y aurait eu moins d'emmerdes (sachant qu'au final une migration vers un logiciel dédié s'est faite quand même).
Je ne sais pas si c'est que moi, mais je ne vois rien pour tes images. Liens cassés?
Sinon, le plus simple pour afficher des fichiers de conf, ça reste d'utiliser la syntaxe du forum, à savoir une ligne vide puis entre deux "```" le texte brut.
Enfin, as-tu vérifié que sur la machine linux les services sont bien démarrés (en fonction de ta distrib, que tu n'as d'ailleurs pas indiqué, la commande service --status-all peut t'aider).
De mémoire, si l'attaquant est passé par apache, il doit y avoir un fichier /var/log/apache/access, qui liste les URIs visitées avec un horodatage (ou est-ce un timestamp?).
Après, pour vérifier la BDD… ça va être plus compliqué, surtout si l'attaque à injecté du code dans les schémas (c'est ce que je ferais perso, si je devais faire un malware, avec des hook sur les requêtes). Bref: faire un backup des données SQL pertinentes et réinstaller la BDD à partir d'une version sûre me semble un minimum.
Après, il faut se souvenir que les email ne garantissent pas l'expéditeur… ça me semble peu probable que les mails soient envoyés à partir de l'association, mais qui sait? Il suffit qu'ils aient récupéré la liste des mails, d'une façon ou d'une autre. D'ailleurs, c'est probablement pour ça qu'ils envoient un mail pour récupérer le password. S'ils avaient l'accès à la DB ça ne servirait à rien.
Android? En tout cas, vue la pléthore d'anti-virus qu'il semble y avoir, il est probable qu'il y ait des virus.
Ah, et android, c'est un linux, juste au cas ou.
Si tu veux un virus pour bureau, alors dis moi si ce scénario (fictif, certes) te semble si peu crédible:
Un utilisateur Debian souhaite jouer à RedEclipse. Manque de bol, la version dans les dépôts stable, backport inclus, n'est pas assez à jour pour lui, il décide donc de l'installer à partir du site officiel.
Pas de chance, le site officiel à été victime d'une attaque qui n'a pas encore été détectée, et les archives du logiciel ont été infectées (en fait, l'attaquant à simplement renommé le binaire, et fait un script shell qui lance son virus puis passe la main à l'exécutable officiel: ni vu, ni connu).
N'étant pas un bidouilleur mais l'un de ceux que l'on appelle habituellement un "utilisateur normal", il n'a jamais modifié ses fichiers de configuration, du coup le script n'a qu'à modifier le fichier ~/.profile en insérant le dossier ~/.bin au PATH (sed -i 's/$HOME\/bin/$HOME\/.bin:$HOME\/.bin/g'), créer le-dit dossier, y ajoutes des commandes d'authentification vérolées, et ajouter des alias correspondant (pour su, ça semble nécessaire après test, pour sudo non… triste.).
Voila, à la prochaine tâche administrative faite par l'utilisateur en ligne de commande (typiquement, via sudo), le virus pourra avoir un grand contrôle sur la machine, et donc infecter les binaires principaux du système.
Comme notre utilisateur est un fan de jeux vidéos, il utilise un GPU NVidia, et préfère utiliser le pilote officiel (sous Debian, je ne peux pas lancer nombre de jeux avec le pilote nouveau). Du coup, il utilise DKMS, qui injecte le pilote NVidia dans le kernel. Le virus prend avantage de cette fonctionnalité pour infecter directement le kernel.
Voila. fin de l'histoire.
Les deux véritables difficultés au final, outre le code du virus lui-même, c'est:
1) générer un vecteur d'infection. Sous windows, pas mal de malwares sont installés à cause de logiciels qui ne sont pas récupérés sur le site officiel. Avec l'arrivées des jeux vidéo commerciaux sous linux, on risque de voir émerger des cracks, et certains pourront être vérolés (c'est un vecteur d'infection assez important sous windows).
2) l'escalade des droits. Dans ma petite histoire, l'attaquant passe par un script d'installation vérolé, et nécessite l'usage de su ou sudo. En fait, je suis bête, j'ai surestimé l'utilisateur: l'attaquant ferait certainement comme sous windows, il demanderait poliment le droit de s'exécuter avec gksu. Voire même, pas besoin, après tout, que cherchera-t-on à récupérer? De l'espace disque? Du CPU? Des données? Tout ça, sur une installation de bureau, ce ne sont pas les prérogatives de root (ou peu importe le nom de l'utilisateur avec l'uid0), l'utilisateur principal, qui installe le malware, en dispose aussi. D'ailleurs, c'est lui qui a les données… pas root.
La seule raison pour laquelle Linux et Mac OS n'étaient pas ciblés jusqu'à présent, c'est la part de marché. La technicité traditionnelle des utilisateurs linux aussi, probablement, mais ça, ça risque d'être de moins en moins d'actualité (ce qui ne veux pas dire que c'est demain "l'année du bureau linux" je ne crois pas aux révolutions. Ici, j'ignore volontairement android, je parle bien des bureaux.).
Pour voir les malware arriver sur les bureaux, il suffirait que le grand public commence à utiliser linux sur le bureau, et un frein est en train de tomber: les jeux vidéos arrivent, grâce à steam. Donc, les cracks finiront par arriver, et avec les cracks, les malwares.
Oh oui, il s'est fait beaucoup descendre… avec des raison bien foireuses pour la plupart (codé par lennart et abandon des scripts dans la config sont mes 2 préférées de ce point de vue la, mais certains invoquent aussi le fait que ce soit du linux-only) mais si moi je n'ai pas envie de l'utiliser, c'est tout simplement parce qu'il est envahissant et que le projet n'a pas l'air d'avoir de bornes clairement définies. Et je préfère aller vers un système dont je peux changer les composants séparément que vers un système monolithique.
Enfin, dans le genre système d'init qui à l'air sympa, il y a runit. Simple et efficace, je trouve. Je l'ai adopté sur une machine (debian), il est vraiment facile à mettre en place, assez pour me donner envie de tester voidlinux (distrib qui en fait son init par défaut).
Pour ce qui est de la mort de sysVinit, c'est probablement l'une des meilleures choses qui pouvaient arriver, quand on voit la tronche des scripts… erk! je comprend vraiment pas comment des gens ont pu sortir l'argument que sysVinit est "plus simple" à maîtriser que systemd…
[^] # Re: Ne regardons pas par le petit bout de la lorgnette non plus...
Posté par freem . En réponse à la dépêche La seule chose que Microsoft doit faire - mais ne fera pas - pour gagner la confiance open-source. Évalué à 3.
J'sais pas… disons que la libération de .NET aide potentiellement la plupart des nouvelles applis à tourner sous d'autres OS?
[^] # Re: Ne regardons pas par le petit bout de la lorgnette non plus...
Posté par freem . En réponse à la dépêche La seule chose que Microsoft doit faire - mais ne fera pas - pour gagner la confiance open-source. Évalué à 3.
Pourquoi serait-il hasardeux s'ils sont sûr de leur droit?
En partie, oui. En fait, non. Et vive ma normandie natale… Non, ce n'est pas bien fait de se faire racketter s'ils sont pas gentils. Mais, s'ils acceptent de se faire racketter, c'est juste parce qu'ils sont moins forts que l'autre, pas parce qu'ils sont gentils. Si la situation avait été inversée, je n'ai aucun doute que ce serait eux qui feraient du racket.
Alors, ok, c'est un probable procès d'intention… mais il reste encore assez d'idéalisme dans mon cœur (gros défaut, je sais) pour considérer qu'ils ne sont pas a plaindre.
Pour moi, un très gros contributeur, c'est juste un contributeur qui publie régulièrement des patch. Ça n'a, contrairement à ce que j'ai pu laisser ressentir (mea culpa d'ailleurs) rien à voir avec la quantité de lignes de code. Ceci dit, je crois (et je ne vais pas vérifier, pour deux raisons: 1) perte de temps 2) remise en question difficile) que les plus gros contributeurs au LL sont des gens non affiliés. Un logiciel libre qui aurait une personne (physique ou morale) comme contributeur majeur, c'est typiquement le genre de logiciel libre que j'essaierai d'éviter en milieu professionnel, car il aurait peu de potentiel de pérennité.
Qualifier google comme étant le plus gros c'est comme me coller une gifle, même si, pour le kernel linux, c'est une possibilité éventuelle (bien que douteuse).
Considérer n'importe quel contributeur comme insignifiant, c'est pareil, ça me vexe, parce que les contributeurs ça me semble toujours important, et pas que pour le code, mais aussi pour l'image, la réputation. Les contributions, on ne le dira jamais assez, ce n'est pas que le code putain!
Pouvoir dire que MS à contribué à un logiciel, c'est quand même intéressant non? Ça donne quand même une sacré crédibilité, non?
D'ailleurs, si les contributions de MS sont négligeables (je n'arrive pas à me débarrasser de l'idée que tu les considères comme tels), alors que dire de la pléthore d'individus qui font des patchs de 4-5 lignes à des logiciels quasi-anonymes une fois tous les 36 du mois?
MS est une personne, morale certes, ces gens-la sont chacun une personne également… physique? Pas si sûr: prouves-le.
Soit. Donc, il faut considérer l'ensemble de la contribution des deux entreprises à l'open-source.
Hum… je suis embêté…. MS à, de mémoire, publié les spec' de .NET, peut-on considérer cela comme un geste en faveur du libre, selon toi?
Selon moi, oui, mais je suis conscient que l'on a des opinions différentes sur le sujet.
Je passerai sur les formes indirectes de contribution, sur lesquelles à mon avis MS à plus contribué au libre que Linux. Si tu veux m'y engager, ce sera volontiers, mais il faudra au préalable définir pas mal de choses pour pas qu'on se contredise en pensant la même chose.
Mais, qui a dit que Eric Raymond avait raison? Ce n'est pas mon Messie!
La FSF et Debian elles-mêmes sont en désaccord sur la notion de libre et d'open-source! La FSF est aussi, d'ailleurs, en désaccord avec les BSD.
Plus posément (mon ton était un peu sec), dès lors qu'un code source est lisible et modifiable par les utilisateurs du binaire issu de ce premier, en quoi n'est-il pas libre? Quel est le but réel du libre?
Oui, je remets en question le fait que les modalités financières soient liées aux libertés des utilisateurs. Je remets aussi en question le fait qu'il soit possible de publier n'importe quel type de logiciel libre et de pouvoir en vivre dans la pratique.
Si. En retour, il leur fout la paix.
Tu vas sûrement m'accuser de me croire dans le monde des bisounours, et vu le ton de notre échange je ne t'en voudrai pas. Mon opinion, c'est que pour la majorité des boîtes, si elles ne vont pas jusqu'au procès, c'est qu'elles savent qu'elles perdront. Pas nécessairement sur les brevets en question, mais sur d'autres, des conflits qui s'éveilleront à la moindre velléité de rébellion.
Et avant que tu ne le demandes, non, je n'approuve pas.
Seulement, force est d'admettre que dans la situation présente, seules les nations arabes et les russes semblent avoir les tripes (ou l'obligation) d'avoir un dirigeant capable de dire merde aux USA. Enfin, c'était la dernière fois ou j'ai essayé d'ouvrir un œil (fautif, donc).
[^] # Re: Microsoft et McDonald's sont sur un bateau
Posté par freem . En réponse à la dépêche La seule chose que Microsoft doit faire - mais ne fera pas - pour gagner la confiance open-source. Évalué à 2.
Tu demandes souvent à tes amis c'est quoi qu'ils utilisent comme OS sur leur téléphone?
Moi, quand ça cause télépĥone, je sors triomphalement mon truc à touches, je le jette bien fort par terre en disant "vous voyez, dans 3 ans, vous cracherez à nouveau 300 balles, moi, même si je le claquais tous les 2 mois par terre, il me coûterait moins cher, en imaginant qu'il soit pété!".
Bon, j'exagère un poil, mais sérieux, windows Desktop c'est juste 93% de PdM selon ce site. Pourtant, tout le monde semble utiliser windows autour de moi, et je connais plus de 93 personnes :) (d'autres sites rapportaient un taux plus dans les 80% de windows, mais flemme de chercher)
Conclusion: il suffit de connaître 100% des mauvaises personnes pour avoir un énorme biais.
[^] # Re: Ne regardons pas par le petit bout de la lorgnette non plus...
Posté par freem . En réponse à la dépêche La seule chose que Microsoft doit faire - mais ne fera pas - pour gagner la confiance open-source. Évalué à 3.
Peut-être.
Moi, je suis français et, si je plaçais un poême sous CC0, il ne serait pas du tout dans une licence équivalente au domaine public, alors que si je plaçais un code source sous la même licence, il en serait en effet très proche.
Je m'explique.
Dans le droit français, la PI est divisée en deux:
Le peu que j'en sais (surtout à cette heure (déjà que je dois me relire avec 3s d'intervalle pour pas faire trop de fautes… n'espères pas une véracité juridique absolue, c'est pire que de l'ASM x86 ces trucs la!)), c'est que le droit d'auteur couvre les créations imaginaires, telles que les romans, musiques, poésies… et est séparé en 2:
Alors que le droit des brevets lui nécessite, en France, j'insiste lourdement, une application viable d'un système industriel ne faisant pas partie de l'état de l'art (pas sûr de l'expression…).
Dernière chose: encore une fois, ce sont des souvenirs vagues de cours d'informaticien, pas de légiste. Et je rappelle qu'il ne faut surtout pas croire ce que l'on lit sur l'internet, surtout quand c'est moi qui l'écrit :)
D'ailleurs, tu remarqueras qu'il y a pas mal de blancs dans mon résumé: désolé, je ne peux pas faire mieux (1 chimay, 4 verres de whisky, et plus de 5 ans depuis les cours, ça aide pas…).
[^] # Re: Ne regardons pas par le petit bout de la lorgnette non plus...
Posté par freem . En réponse à la dépêche La seule chose que Microsoft doit faire - mais ne fera pas - pour gagner la confiance open-source. Évalué à 4.
Il y a une marge entre "se passer de contributeurs" et "se passer de quelques contributeurs", non?
Bah, ok, désolé d'avoir attaqué ton raisonnement par l'absurde, mais sur l'instant j'avais vraiment lu le sens littéral.
Pour ce qui est des brevets et, surtout, de la PI… ma position est très claire dans mon esprit, et ma façon de l'exprimer est généralement la suivante:
Nul doute que tu y verras à redire.
[^] # Re: Ne regardons pas par le petit bout de la lorgnette non plus...
Posté par freem . En réponse à la dépêche La seule chose que Microsoft doit faire - mais ne fera pas - pour gagner la confiance open-source. Évalué à 2.
C'est faux.
La GPL est considérée comme libre, et on ne fait pas ce que l'on veut avec la GPL: si on distribue le logiciel, on est OBLIGÉ de distribuer le code source. Il s'agit bel et bien d'une restriction.
D'autres licences, telles que les licences de type BSD, sont quant à elle bien plus permissives.
Et puis, c'est un sujet très complexe, tellement que des acteurs majeurs du libre ne sont pas d'accord entre eux. J'invoque Debian qui considère la licence utilisée pour la documentation de GDB comme non libre, cette dernière licence étant produite par la FSF et… interdit certaines modifications.
Et je ne parle pas ici du fait que, selon la nations dont tu es titulaire de la nationalité, la loi peut t'interdire de déposer ton œuvre dans le domaine public. C'est mon cas, à moi, en France, si je ne me trompe pas. Hors, seul le domaine public permets une liberté à 100% avec le travail intellectuel d'autrui. Seule le domaine public est réellement, 100% libre (c'est à dire, n'interdit strictement rien).
[^] # Re: SystemV RC est obsolète
Posté par freem . En réponse au message système d'init. Évalué à 2.
Je ne suis pas trop sûr de savoir ce que tu veux faire en fait.
Si tu écrits un daemon, le mieux me semble de t'assurer que ton daemon se méfie de l'OS comme de la peste (en fait, l'OS et tous les processus externes doivent être considérés comme des utilisateurs, et donc pouvant dire de la merde, pour une sécurité maximale), et vérifie tous les pré-requis au minimum à l'initialisation. Dans le cas d'un outils de sécurité, tu devras aussi t'arranger pour chiffrer la RAM, mais, honnêtement, je n'ai jamais creusé. Sûrement un truc bien pénible à faire, et certainement pas la 1ère cause de problèmes.
Tout ça est souvent plus simple à faire dans le code exécutable plutôt que par le système d'init: il suffit de vérifier chaque retour de chaque fonction d'I/O pour être sûr que l'I/O s'est bien passée. C'est chiant, mais bon… Sinon, il y a les exceptions, mais c'est à éviter comme la peste si tu ne codes pas un binaire unique (édition des liens statique): il se pourrait que l'API ou l'ABI varie avec le temps, amenant des bugs particulièrement mesquins. La contrepartie d'une édition de liens statique, c'est un binaire potentiellement plus gros. Dans les faits, j'ai plus constaté un binaire plus petit… L'autre problème, c'est la difficulté de mise à jour. Elle ne se pose que peu pour un logiciel libre, surtout que de nos jours les CPU sont des monstres, mais pour un logiciel fermé, c'est différent.
Si tu ne peux pas, ou ne veux pas, vérifier tous les pré-requis correctement, alors tu te dois au minimum de les indiquer dans la doc… enfin, si tu prétends être fier de ton œuvre. Pour moi, soit le code vérifie de manière explicite les pré-requis, soit la doc les spécifie. Et l'idéal, c'est quand les deux sont réunis (mais, c'est rare, parce que c'est déjà chiant d'en faire un, alors les deux… argh!).
Si tu écris un système d'init, alors… hum, bon courage, mais dans ce cas tu sais probablement déjà ce que tu fais, ou alors tu cherches à apprendre pour le fun, donc pas de soucis.
# Y'a pas a dire... certains savent le faire
Posté par freem . En réponse au journal Baleine d'avril sur Nextinpact. Évalué à 4.
Le poisson d'avril, c'est pas simple, il faut un truc assez choquant, tout en ne l'étant pas trop et en étant assez étayé de fausses déclarations de personnalités célèbres…
La baleine en question, trop grosse pour nous, passerait certainement présentée à des gens intéressés mais pas passionnés par le sujet :)
Tout ça me rappelle d'ailleurs que je marchais régulièrement dans ceux de neliger, quand progboards existait encore (j'étais passionné, mais encore plus inculte qu'aujourd'hui)…
[^] # Re: 10 raisons pour lesquelles le hors sujet, c'est la vie, vous allez adorer la 7è
Posté par freem . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 4.
Y'en a plein, mais souvent les gens savent pas de quoi ils parlent. Alors qu'ici, il ils le savent presque!
[^] # Re: 10 raisons pour lesquelles le hors sujet, c'est la vie, vous allez adorer la 7è
Posté par freem . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 3.
Tu aurais parlé du 42, j'aurai su, mais la, c'est quoi, le 49.3 ?
[^] # Re: Traditions du HS
Posté par freem . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 7.
C'est un poisson? Parce que si ce n'est pas le cas, c'est en effet gênant et inquiétant. Pourtant, il y a les journaux ou l'on peut s'exprimer à volonté, je vois pas l'intérêt de pourrir les modo avec des dépêches HS…
Bon, d'un autre côté, en fonction du sujet, je ne saurait pas forcément si elles sont HS: linuxfr, est-ce «dédié» à ce qui touche à linux (sujet déjà très large…), à ce qui est francophone, à ce qui est logiciel libre (selon quelle définition? DFSG ou GNU?)? Peut-être une combinaison? Dans ce cas, laquelle?
Bref, je n'oserai pas dire que je sais de quoi on est censés parler ici :)
Au moins, ce que je sais, c'est que même s'il y a du trollage, de la moquerie, des invectives, l'ambiance reste globalement bon enfant, et les participants en général sont de bonne volonté. Ceux qui ne s'en aperçoivent pas… j'espère qu'ils sont minoritaires, et je ne les comprend pas. Peut-être trop d'orgueil?
En tout cas, merci à l'équipe qui gère linuxfr, discrète mais efficace (et je ne dis pas ça à cause de la date).
[^] # Re: Encore?
Posté par freem . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 3.
Overdose, ça, non?
[^] # Re: Commentaire modéré
Posté par freem . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 0.
Ça aurait du être le blanc dans ce cas, symbole de l'impérialisme. Le rouge était plutôt celui du communisme, qui me semble un poil contraire à la diversité héhéhé
[^] # Commentaire supprimé
Posté par freem . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 6.
Zut, on peut pas plussoyer les commentaires supprimés par l'équipe de modération… c'est quand même bien la preuve que l'on est censurés à outrance sur ce site!
[^] # Re: C'est pas le jour
Posté par freem . En réponse à la dépêche [Nice] Le Nicelab 3.0 est ouvert!. Évalué à 3.
Ce lab à une particularité, qui fait qu'il est important qu'il soit annoncé ce jour… c'est un fablab pour ne faire que des trucs cassés.
[^] # Re: Lute pour la sécurité
Posté par freem . En réponse à la dépêche Les temps sont durs chez TuxFamily.org. Évalué à 3.
Laisses-moi t'aider en ce cas.
Ne pas mettre à jour des correctifs de sécurité si l'on héberge des données d'un tiers (les logs inclus), c'est une faute car cela risque de compromettre la sécurité d'autrui.
D'un autre côté, mettre à jour vers une version majeure ou mineure, c'est aussi une faute si la seule raison invoquée est la sécurité, car comme tout le monde ici le sait, tout ajout de fonctionnalité ajoute son lot de bugs également.
Du coup, je trouve la politique de tuxfamily difficilement soutenable point de vue sécurité, il est connu après tout que le vieux code est bien plus sécurisé, ayant été relu par de nombreux experts. Typiquement, OpenSSL est un outils extrêmement sécurisé, et le mettre à jour pour avoir de nouvelles fonctionnalités ou de nouveaux protocoles serait une erreur. (hé ho, j'ai encore 30min!)
[^] # Re: Et pour les virus?
Posté par freem . En réponse à la dépêche ReactOS 0.4.0. Évalué à 4.
Il se passerait quoi, si tu avais installé linux mint? Je veux dire, celle dont l'iso semble avoir été modifiée il n'y à pas si longtemps?
Accessoirement, tu en penses quoi des PPAs et autres mécanismes semblables, destinés à rendre l'installation d'un logiciel tiers plus facile? Il y à moins de, sinon aucun, contrôle dessus, pas vrai?
Ça, on est d'accord. Du moins, tant que l'on parle d'installation manuelle.
Il ne faut pas oublier un problème majeur: pour un langage interprété (python, sh, … mais surtout javaScript!) ce n'est pas difficile de se faire exécuter, par exemple via le navigateur. D'ailleurs, le navigateur web est probablement la 2ème plus importante source de malware… voire la 1ère, à bien y réfléchir: tout le monde l'utilise, pas juste les joueurs.
Pour le marquage en exécutable, ne pas oublier que la plupart des malwares modernes sous windows demandent à l'utilisateur le droit de s'exécuter… Ils feront pareils sous linux (même si oui, du point de vue sécurité, on est par défaut mieux lotis sous Debian que sous Windows, et j'ose espérer que toutes les distributions mères sont du même niveau).
Je ne dis pas que c'est trivial, hein, juste que c'est largement faisable, et mon but c'est de tordre le cou à l'idée super débile que parce qu'on utilise un logiciel alternatif, on est insensibles aux malwares.
Quand j'étais sous windows, j'y étais résistant aussi en fait, parce que je n'utilisais aucun logiciel mainstream, quasiment que des alternatives libres. N'empêche, rien ne prouve que personne n'attaquais ces outils (d'ailleurs, certains de ces outils me manquent, notamment les débogueurs, il n'y a que dalle de vraiment efficace sous GNU/Linux dès qu'on ne veut pas se farcir un IDE… snif… et en plus gdb aime pas clang… grrr!).
Le problème viens toujours de l'administration. Si l'administrateur marque le système de fichier contenant /home comme ne pouvant contenir d'exécutables, le problème est réglé. Avec les problèmes que ça inclue: l'utilisateur ne peut plus installer d'applications inconnues de l'admin.
La sécurité ça à toujours un impact sur l'utilisabilité. Windows est trop léger (mais s'est amélioré) par défaut, mais nos distrib sont, peut-être, un peu trop casse-pied (ça, ça reste un vrai débat) pour un usage lambda?
Pourquoi?
Je suis quasiment sûr que 90% des distributions Linux de bureau on bash, systemd, dkms, sudo, python 2 et 3, perl, ssh et Xorg d'installés (j'ai un doute pour netcat…). Je me trompe? Et si y'a pas Xorg, alors c'est wayland, qui a une couche de compat' de mémoire. Avec tout ça, il y a largement de quoi attaquer à l'aveugle.
Pire, la diversité des distributions Linux n'est pas si importante: combien de distrib sont juste basée sur une autre, avec un simple fichier qui change les paquets installés par défaut et un thème graphique différent? Avec aucun paquet dont la compilation ou même la configuration serait différent de l'original?
Question subsidiaire, du coup, quel est le degré de similarité entre une Debian sid et, mettons, emmabuntu (j'ai pris le nom au pif, pour la forme)? Je suis quasi sûr qu'il dépasse les 50% à l'aise, particulièrement au sujet des paquets qui forment le cœur du système.
Après tout, ce qui change le plus, c'est le bureau… la couche graphique, celle qui est tellement difficile à expliquer aux gens que l'on préfère sur les forum utiliser des lignes de commande pour dépanner les autres.
Je pense que c'est plus compliqué parce que les utilisateurs sont mieux éduqués en moyenne. Pour l'instant.
Reste que j'ai, comme déjà dit, la conviction qu'Android possède un bon réservoir à malwares. Hors, l'affirmation que je veux démonter, c'est que seul windows est victime de malwares… pardon, de virus, parce que pour les malwares c'est encore plus simple à prouver: il suffit de parler des rootkits qui servent à attaquer les serveurs.
[^] # Re: Et pour les virus?
Posté par freem . En réponse à la dépêche ReactOS 0.4.0. Évalué à 4.
Parce que l'offre logicielle commerciale à destination des particuliers est très réduite sur GNU/linux?
La plupart des logiciels crackés que j'ai pu voir, c'étaient des jeux vidéo (ah, et winzip/rar, 'toshop et nero aussi). Sans passer par un wine arrosé d'un peu de poudre verte, ou dosbox pour les plus vieux, la majorité ne passe pas sous Linux, et même pour ceux qui passent, ce n'est pas sûr qu'ils fonctionnent bien.
Tu as oublié le plugin flash, notamment. Dans son cas, l'installateur est installé par le dépôt, mais ce n'est qu'un outil intermédiaire qui va télécharger le véritable je ne sais où. Et pour l'argument comme quoi flash serait mort, c'est de la connerie: les sites qui ne requièrent pas flash pour lire une vidéo restent une minorité de mon expérience personnelle (je dirais, à peu près 16% de ceux sur lesquels je tombe).
Reste aussi le fait qu'il existe des dépôts externes: moi j'utilise les dépôts officiels de clang, et vivaldi notamment (avant vivaldi c'était celui d'opéra). Les ubuntistes utilisent manifestement assez régulièrement les ppa, et pour les utilisateurs d'arch, il semble qu'ils aient le même type de mécanisme qui permets de prendre des paquets de source moins fiable relativement aisément. En dehors des dépôts, je joue à redeclipse, donc pas le choix pour avoir une version récente sur Debian: download manuel. 3 situations ou j'utilise du logiciel externe, 3 cas d'usages différents donc: dev', web et jeux. Ça peut toucher pas mal de monde, pas vrai?
Bref, pas convaincu que les dépôts soient la panacée.
[^] # Re: au pif
Posté par freem . En réponse au message Mysql piraté. Évalué à 2.
Pas faux.
[^] # Re: Mauvaise idée
Posté par freem . En réponse au journal Tableur de calcul pour auto-entrepreneur 2016. Évalué à 1.
D'un autre côté, qu'est-ce qui est le mieux: Un fichier de tableur, ou un logiciel spécialisé (vraie question)?
Et quant à trouver ledit logiciel, une recherche sur le tag autoentrepreneur mène rapidement à ce type de liens. Je ne sais pas ce que valent les logiciels indiqués dans les commentaires, et il me semble aussi qu'il y avait eu des journaux avec le même sujet, dont on peut espérer plus de fiabilité qu'un bout de tableur développé avec la Rache, ne serait-ce que parce qu'il y a plus de gens qui s'en occupent.
Du coup, ça retombe assez bien sur le commitstrip, ou le dev commence justement par chercher des solutions dignes de ce nom, et conclue sur la note qu'au final, si au lieu de faire son propre bricolage pour un outil somme toute important (la compta me semble un truc important quand on est a son compte), le choix avait été d'utiliser un véritable logiciel, il y aurait eu moins d'emmerdes (sachant qu'au final une migration vers un logiciel dédié s'est faite quand même).
# liens cassés.
Posté par freem . En réponse au message Problème Dns Primaire Windows server 2008 et secondaire Ubuntu 12.04. Évalué à 2.
Je ne sais pas si c'est que moi, mais je ne vois rien pour tes images. Liens cassés?
Sinon, le plus simple pour afficher des fichiers de conf, ça reste d'utiliser la syntaxe du forum, à savoir une ligne vide puis entre deux "```" le texte brut.
Enfin, as-tu vérifié que sur la machine linux les services sont bien démarrés (en fonction de ta distrib, que tu n'as d'ailleurs pas indiqué, la commande
service --status-allpeut t'aider).[^] # Re: au pif
Posté par freem . En réponse au message Mysql piraté. Évalué à 3.
De mémoire, si l'attaquant est passé par apache, il doit y avoir un fichier /var/log/apache/access, qui liste les URIs visitées avec un horodatage (ou est-ce un timestamp?).
Après, pour vérifier la BDD… ça va être plus compliqué, surtout si l'attaque à injecté du code dans les schémas (c'est ce que je ferais perso, si je devais faire un malware, avec des hook sur les requêtes). Bref: faire un backup des données SQL pertinentes et réinstaller la BDD à partir d'une version sûre me semble un minimum.
Après, il faut se souvenir que les email ne garantissent pas l'expéditeur… ça me semble peu probable que les mails soient envoyés à partir de l'association, mais qui sait? Il suffit qu'ils aient récupéré la liste des mails, d'une façon ou d'une autre. D'ailleurs, c'est probablement pour ça qu'ils envoient un mail pour récupérer le password. S'ils avaient l'accès à la DB ça ne servirait à rien.
[^] # Re: Et pour les virus?
Posté par freem . En réponse à la dépêche ReactOS 0.4.0. Évalué à 10.
Android? En tout cas, vue la pléthore d'anti-virus qu'il semble y avoir, il est probable qu'il y ait des virus.
Ah, et android, c'est un linux, juste au cas ou.
Si tu veux un virus pour bureau, alors dis moi si ce scénario (fictif, certes) te semble si peu crédible:
Un utilisateur Debian souhaite jouer à RedEclipse. Manque de bol, la version dans les dépôts stable, backport inclus, n'est pas assez à jour pour lui, il décide donc de l'installer à partir du site officiel.
Pas de chance, le site officiel à été victime d'une attaque qui n'a pas encore été détectée, et les archives du logiciel ont été infectées (en fait, l'attaquant à simplement renommé le binaire, et fait un script shell qui lance son virus puis passe la main à l'exécutable officiel: ni vu, ni connu).
N'étant pas un bidouilleur mais l'un de ceux que l'on appelle habituellement un "utilisateur normal", il n'a jamais modifié ses fichiers de configuration, du coup le script n'a qu'à modifier le fichier ~/.profile en insérant le dossier ~/.bin au PATH (
sed -i 's/$HOME\/bin/$HOME\/.bin:$HOME\/.bin/g'), créer le-dit dossier, y ajoutes des commandes d'authentification vérolées, et ajouter des alias correspondant (pour su, ça semble nécessaire après test, pour sudo non… triste.).Voila, à la prochaine tâche administrative faite par l'utilisateur en ligne de commande (typiquement, via sudo), le virus pourra avoir un grand contrôle sur la machine, et donc infecter les binaires principaux du système.
Comme notre utilisateur est un fan de jeux vidéos, il utilise un GPU NVidia, et préfère utiliser le pilote officiel (sous Debian, je ne peux pas lancer nombre de jeux avec le pilote nouveau). Du coup, il utilise DKMS, qui injecte le pilote NVidia dans le kernel. Le virus prend avantage de cette fonctionnalité pour infecter directement le kernel.
Voila. fin de l'histoire.
Les deux véritables difficultés au final, outre le code du virus lui-même, c'est:
1) générer un vecteur d'infection. Sous windows, pas mal de malwares sont installés à cause de logiciels qui ne sont pas récupérés sur le site officiel. Avec l'arrivées des jeux vidéo commerciaux sous linux, on risque de voir émerger des cracks, et certains pourront être vérolés (c'est un vecteur d'infection assez important sous windows).
2) l'escalade des droits. Dans ma petite histoire, l'attaquant passe par un script d'installation vérolé, et nécessite l'usage de su ou sudo. En fait, je suis bête, j'ai surestimé l'utilisateur: l'attaquant ferait certainement comme sous windows, il demanderait poliment le droit de s'exécuter avec gksu. Voire même, pas besoin, après tout, que cherchera-t-on à récupérer? De l'espace disque? Du CPU? Des données? Tout ça, sur une installation de bureau, ce ne sont pas les prérogatives de root (ou peu importe le nom de l'utilisateur avec l'uid0), l'utilisateur principal, qui installe le malware, en dispose aussi. D'ailleurs, c'est lui qui a les données… pas root.
La seule raison pour laquelle Linux et Mac OS n'étaient pas ciblés jusqu'à présent, c'est la part de marché. La technicité traditionnelle des utilisateurs linux aussi, probablement, mais ça, ça risque d'être de moins en moins d'actualité (ce qui ne veux pas dire que c'est demain "l'année du bureau linux" je ne crois pas aux révolutions. Ici, j'ignore volontairement android, je parle bien des bureaux.).
Pour voir les malware arriver sur les bureaux, il suffirait que le grand public commence à utiliser linux sur le bureau, et un frein est en train de tomber: les jeux vidéos arrivent, grâce à steam. Donc, les cracks finiront par arriver, et avec les cracks, les malwares.
[^] # Re: les trois mon capitaine
Posté par freem . En réponse au message système d'init. Évalué à 4.
Debian permets de désinstaller systemd et de le remplacer par sysVinit. Tu as également la possibilité d'utiliser openrc ou upstart.
[^] # Re: SystemV RC est obsolète
Posté par freem . En réponse au message système d'init. Évalué à 4.
Oh oui, il s'est fait beaucoup descendre… avec des raison bien foireuses pour la plupart (codé par lennart et abandon des scripts dans la config sont mes 2 préférées de ce point de vue la, mais certains invoquent aussi le fait que ce soit du linux-only) mais si moi je n'ai pas envie de l'utiliser, c'est tout simplement parce qu'il est envahissant et que le projet n'a pas l'air d'avoir de bornes clairement définies. Et je préfère aller vers un système dont je peux changer les composants séparément que vers un système monolithique.
Enfin, dans le genre système d'init qui à l'air sympa, il y a runit. Simple et efficace, je trouve. Je l'ai adopté sur une machine (debian), il est vraiment facile à mettre en place, assez pour me donner envie de tester voidlinux (distrib qui en fait son init par défaut).
Pour ce qui est de la mort de sysVinit, c'est probablement l'une des meilleures choses qui pouvaient arriver, quand on voit la tronche des scripts… erk! je comprend vraiment pas comment des gens ont pu sortir l'argument que sysVinit est "plus simple" à maîtriser que systemd…