Journal On tient un champion là....

Posté par  .
Étiquettes : aucune
0
23
juil.
2003
Merci à ZDnet pour la petite interview du MicrSoft guy du mois. Je ne résiste pas à l'envie de vous faire partager la fin :

ZDnet : Il paraît que les primes sur salaires chez Microsoft sont désormais calculées en fonction de la non-vulnérabilité des logiciels?

Cyril Voisin (MS) : C'est vrai... (rires). Cela s'applique surtout aux développeurs. Mais même pour moi, et c'est normal, vu ma fonction, que mon bonus tienne compte de cette priorité. D'ailleurs, pour nous la sécurité n'est plus seulement une priorité, c'est devenu une obsession!

  • # Re: On tient un champion là....

    Posté par  . Évalué à 1.

    Un lien m'sieur...

    • [^] # Re: On tient un champion là....

      Posté par  . Évalué à 1.

      http://news.zdnet.fr/story/0,,t118-s2137742,00.html(...)

      • [^] # Re: On tient un champion là....

        Posté par  (site web personnel) . Évalué à 2.

        On a encore droit à l'info sortie du chapeau sur la comparaison du nombre de vulnérabilités recensées sur Windows et sur linux :
        [...] il suffit de jeter un oeil sur le site CVE (Computing Vulnerability Exposure) pour y voir l'ensemble des vulnérabilités répertoriées depuis 1999: 350 pour Windows toutes versions confondues et 330 pour Linux, auxquelles il faudrait probablement ajouter les 22 vulnérabilités de Samba, voire même les 45 vulnérabilités de Sendmail

        Y'a un équivalent de Sendmail sur le CD d'installation de Windows ?

        • [^] # Re: On tient un champion là....

          Posté par  (site web personnel) . Évalué à 1.

          Qu'est-ce qu'il attende pour déposer un brevet sur :

          Par exemple, dans Windows XP, la fonction "Exécuter en tant que" ("Run as") permet à l'utilisateur de lancer un programme avec des privilèges différents des siens

          M...., ça marche pas, d'autres ont déjà eu l'idée. Et après ça, ils trouvent le moyen de nous dire que GNU/Linux est dépassé car il reprend les principes d'un "OS vieux de 20 ans" ...

        • [^] # Re: On tient un champion là....

          Posté par  . Évalué à 3.

          Le problème pour M$ vu que c'est proprio, c'est qu'il reste encore 500 failles à trouver et qu'ils ont plus d'avocats que de programmeurs. :-D
          Sans compter que les failles découvertes sous M$ sont vraiment énormes et bien plus importantes.
          Enfin, M$ sort une bouvelle version tous les... 3 ans? Dans le libre, on parle en terme de mois ce qui implique donc d'avantage de failles vu qu'il y a plus souvent de nouvelles versions.

          À propos de NGSCB:
          >Mais cela ne résoudra pas tous les problèmes de sécurité classiques d'aujourd'hui (buffer overflows par exemple)

          Ce qui est con, c'est que c'est une attaque très souvent employée par les crackers.

          >Il paraît que les primes sur salaires chez Microsoft sont désormais calculées en fonction de la non-vulnérabilité des logiciels?

          >C'est vrai... (rires). Cela s'applique surtout aux développeurs. Mais même pour moi, et c'est normal, vu ma fonction, que mon bonus tienne compte de cette priorité. D'ailleurs, pour nous la sécurité n'est plus seulement une priorité, c'est devenu une obsession!

          L'avantage dans le Libre, ce n'est pas l'appât du gain qui nous anime, mais la passion qui est notre source de motivation et là, on voit tout de suite le fossé qui sépare nos deux mondes.

          Pour le reste, bah, il prêche pour sa paroisse.

          • [^] # Re: On tient un champion là....

            Posté par  . Évalué à 2.

            Sans compter que les failles découvertes sous M$ sont vraiment énormes et bien plus importantes.

            Prouves le

            Enfin, M$ sort une bouvelle version tous les... 3 ans? Dans le libre, on parle en terme de mois ce qui implique donc d'avantage de failles vu qu'il y a plus souvent de nouvelles versions.

            Tu veux dire que le monde open source donne des versions pas suffisament testees aux gens pour pouvoir sortir rapidement des nouvelles versions ?

            L'avantage dans le Libre, ce n'est pas l'appât du gain qui nous anime, mais la passion qui est notre source de motivation et là, on voit tout de suite le fossé qui sépare nos deux mondes.

            Alors que nous c'est bien connu, l'informatique ca nous fait chier, a choisir j'aurais ete boulanger, mais vu que programmeur ca paie mieux, ben j'ai appris le C++ en preparant la pate pour le pain...
            C'est dingue quand meme d'en arriver la, tu crois serieusement que les gars qui font du proprio le font par appat du gain uniquement ? Tu vis sur Mars ou bien t'as deja mis les pieds dans une societe informatique ?

            • [^] # Re: On tient un champion là....

              Posté par  (site web personnel, Mastodon) . Évalué à 1.

              Tu veux dire que le monde open source donne des versions pas suffisament testees aux gens pour pouvoir sortir rapidement des nouvelles versions ?

              C'est exactement ça, c'est tout à fait vrai, c'est toute la force de la chose :
              http://www.linux-france.org/article/these/cathedrale-bazar/cathedra(...)

            • [^] # Re: On tient un champion là....

              Posté par  . Évalué à 6.

              'tain.... ce genre de discours stéril au chacun affirme qu'il a la vérité absolu commence à être casse couilles. Ca fait vraiment discussion de gamins avec les terribles réparties "moi, c'est mieux que toi... blabla". Et ceci est valable autant pour les pro-Windows que pour les pro-Linux.

              Tout système a des failles, voire même tout programme (http://www.microsoft.com/technet/security/bulletin/MS03-017.asp(...) )
              ou bien la faille dans SendMail (chercher dans linuxfr)

              Car que cela soit dans le libre ou dans le proprio, ce sont des individus qui codent -> sont donc faillibles.

              Après qu'un mec de Microsoft fasse tout un discours sur la sécurité de Windows (bien que hier, j'ai fait un windows update sous 2000 et j'ai eu droit à la mise à jour d'une faille importante: prise de contrôle à distance de ma machine -> la prime risque d'être faible ce mois ci) c'est normal. C'est du marketing: les utilisateurs, les DSI se sont aperçus que la sécurité était importante donc les sociétés d'info communiquent dessus.
              Après c'est aux sociétés qui proposent du Linux de répondre (sur la une de ZdNet* par exemple), de réfuter et de prouver que leur système est plus fiable que celui concurrent. Certaines personnes vont hurler car ils penseront que c'est utiliser les même armes que Microsoft. Et ?! on veut quoi ? que Linux se répandent ? Ou qu'il reste limité aux serveurs et au desktop pour lancer un VMWARE (voir l'info sur Munich) ?

              Après chaque système a des avantages et des inconvénients (proprio <-> libre, Windows <-> Linux, BSD <-> GPL) et il faut choisir celui qui nous convient le mieux. L'important est d'avoir le choix, pous les os par exemple: moi c'est le pengouin :-) , ma copine c'est Windows, un pote c'est MacOs et un autre utilise même Solaris x86 (par contre, lui je le trouve bizarre ;-) )

              Y a pleins de trucs que je n'aime pas avec Windows, mais un mec qui aime ce système me trouvera pleins de trucs qu'ils trouvent importants. Et que va-t-on faire ? discuter pdt des heures pour que chacun reste sur sa position car il est de toute façon convaincu ?

              C'est comme les applications, je ne peux pas saquer les traitements de textes WYSIWIG, je suis bien avec mon latex alors que d'autres se sentent plus à l'aise avec Word ou OpenOffice.


              * J'ai l'impression (ATTENTION: c'est une impression, ce n'est peut être pas la réalité) que ZDNet aime mettre à la une les interventions de personnes de Microsoft alors que les rares apparitions du monde GPL, libre, Linux sont souvent dans les rubriques annexes. En fait, plus ça va et plus je classe ZdNet dans le même rayon que 01 Informatique.

            • [^] # Re: On tient un champion là....

              Posté par  . Évalué à 2.

              >Prouves le

              Faut pas chercher loin, suffit de voir la revue des failles de JDnet:
              http://solutions.journaldunet.com/dossiers/failles/sommaire.shtml(...)

              exemples:
              http://solutions.journaldunet.com/0307/030717_failles.shtml(...)
              http://solutions.journaldunet.com/0307/030717_failles.shtml(...)
              http://solutions.journaldunet.com/0306/030620_failles.shtml(...)
              http://solutions.journaldunet.com/0306/030620_failles.shtml(...) (oh!, pour une fois il y a linux :))
              http://solutions.journaldunet.com/0305/030515_failles.shtml(...)

              Et pour ceux d'après j'ai la flemme. Bon maintenant, je suppose que tu vas me sortir que l'étude n'est pas exhaustive? Non?

              >Tu veux dire que le monde open source [...] nouvelles versions?

              Oui! Ben, non, je défends tout le temps le libre comme tu as déjà du le remarquer et tu crois que maintenant je vais ch*** dessus? C'est marrant la manie que tu as de détourner les propos des gens, j'avoue que tu n'es pas mal en rhétorique.
              Bon, ce que je voulais dire, c'est qu'étant donné que les nouvelles versions s'enchaînent beaucoup plus rapidement dans le monde de l'open source comme tu dis, il est normal que l'on trouve plus d'erreurs puisqu'il y a plus de logiciels. Tu connais la loi des grands nombres quand même, non? Et bien là c'est pareil, plus il y a de nouveaux logiciels, plus il y a de chances qu'il y ait d'avantage de failles.

              >Alors que c'est bien connu [...] t'as déjà mis les pieds dans une société informatique ?

              En ce qui concerne ta dernière question, oui, je connais d'ailleurs Guillemot qui dirige... Guillemot et son fils qui est patron chez Ubisoft et je suis très bien placé pour savoir qu'il y a une certaine passion chez les programmeurs, etc.
              Ce que je veux dire, c'est que c'est désolant que chez M$ on en vienne à offrir du fric si on fait logiciel sans failles car normalement, un programmeur passionné ne devrait pas avoir besoin de ça pour s'efforcer de faire un programme avec très peu de bugs et de failles et qu'il fait normalement d'ailleurs de son mieux et qu'il ne peut pas toujours repérer toutes les failles cela étant un travail long et difficile. Ce n'est pas tant les programmeurs que je dénonce ici mais plutôt la conduite d'une firme qui rapporte tout au fric.

              Heureusement que tu as comme nom d'utilisateur PasBill PasGates parce que sinon on pourrait penser que tu travailles pour eux! Mais je suppose qu'on te l'a déjà dit. ;-)

              • [^] # Re: On tient un champion là....

                Posté par  . Évalué à 3.

                Ce que je veux dire, c'est que c'est désolant que chez M$ on en vienne à offrir du fric si on fait logiciel sans failles car normalement, un programmeur passionné ne devrait pas avoir besoin de ça pour s'efforcer de faire un programme avec très peu de bugs et de failles et qu'il fait normalement d'ailleurs de son mieux et qu'il ne peut pas toujours repérer toutes les failles cela étant un travail long et difficile.
                Tu as raison pour le programmeur passionné, mais peut être que Microsoft à la même problème que ma boîte. Pas mal de nos développeurs n'ont pas fait d'étude d'informatique (mais biologie, finance, histoire) à part le stage de 2 mois pour apprendre le C et l'algo dans une SSII . Je ne te dis pas leurs lacunes et puis ils s'en foutent pas mal: c'est un boulot .

                Et qd tu demandes à la direction pourquoi ils ont pris ces pseudos informaticiens qui sont de vrais boulets, on te sort: "mais quand on les a engagé, y avait pas assez d'informaticiens sur le marché". Et tu leurs demande s'ils ont vérifié à la sortie des IUT , t'as droit à la réponse: "on ne veut pas de bac+2". C'est vrai que c'est tellement mieux d'avoir un bac+5 en bio... J'espère que toutes les sociétés ne sont pas comme ça :-(

                • [^] # Re: On tient un champion là....

                  Posté par  . Évalué à 1.

                  Euh nan, chez nous ils se foutent pas mal du papier, les interviews ici c'est te faire pondre du code, pas te demander quelles notes t'as eu aux examens :+)

                  Ca empeche pas un boulet de passer a travers les mailles du filet de temps en temps, mais perso je trouves le systeme assez efficace.

              • [^] # Re: On tient un champion là....

                Posté par  . Évalué à 0.

                Exactement, des failles il y en a chez Windows, et chez Linux, dans les 2 cas exploitables a distance certaines fois, et pas dans d'autres.

                JDNet ne te montre qu'une partie du paysage.

                Il y a par exemple des trucs du genre :

                http://linuxtoday.com/security/2003072400926SCKNMD(...)

                http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)

                ou la liste des vulnerabilites dans Redhat(version 7.2 ~ meme age que Win2000) : https://rhn.redhat.com/errata/rh72-errata-security.html(...) qui est tout aussi imposante, avec des vulnerabilites tout aussi serieuses.

                Bref, je vois mal la justification pour dire que les failles dans Windows sont pires. T'en entends certainement bcp plus parler car MS est un elephant et la moindre faille passe dans la presse, ca veut pas dire que c'est moins serieux de l'autre cote.

                Quand au fait que MS rapporte tout au fric, ben faut pas croire non plus qu'ils vont couper le salaire du gars en 2 en cas de faille dans son code. Faut pas se leurrer, des blaireaux et des glandeurs il y en a partout, il y en a surement quelque uns chez MS aussi, et cette methode a un impact reel sur ceux-ci qui ont plein de failles dans leur code(donc qui ne font pas un job correct) et un impact faible sur ceux qui ont une faille tous les ans.
                Perso je trouves que c'est une bonne methode, ca elimine les brebis galeuses sans trop atteindre les autres.

            • [^] # Re: On tient un champion là....

              Posté par  . Évalué à 1.

              >>Sans compter que les failles découvertes sous M$ sont vraiment énormes et
              >>bien plus importantes.

              >Prouves le

              Un exemple, un seul, que je trouve extrèmement grâve par ce qu'il laisse imaginer : le fameux <input type>

              Si, dans une page HTML, dans un formulaire on met <input type> IE plante (idem si c'est dans un email en HTML pour Outlook).
              Le message d'erreur correspondant indique une tentative d'accés à l'adresse 0x0 - classique, un pointeur nul que l'on utilise sans vérifier s'il est valide avant. probablement la valeur du type, qui ici n'existe pas.

              L'instruction à "0x70bf5a43" emploie l'adresse mémoire "0x00000000". La mémoire ne peut pas être "read".

              2 hypothèses :

              1) ne plante pas. Je présume donc que c'est le parseur qui est en cause. Curieusement ca ne plante pas pour d'autres tags, (). Or un parser - surtout pour le HTML - est censé être générique, donc se comporter de la même facon avec tous les tags. Je n'imagine pas des developpeurs écrire un parseur pas à pas à la mimine, j'ose espérer que même chez Microsoft il y des outils à la lex/yacc. Sinon ceci explique celà...

              2) Le parseur n'est pas en cause, c'est le traitement au-dessus qui est fautif. Or dans un programme, tout vrai developpeur sait que le truc le plus important est le traitement des erreurs, une fois que le cas nominal marche. Ici manifestment le code qui s'occupe des formulaires récupère le résultat du parsing sans aucune vérification.

              Dans les 2 cas c'est grâve, pour un soft de ce prix, et sur lequel on n'a aucun moyen d'action.

              Bien sûr ce genre de bug peut également se produire dans des softs libres, mais je n'en n'ai jamais rencontré dans des version stables des produits - uniquement pour des versions de developpement.

              Et ce genre de bug est corrigé assez rapidement. On prend les paris sur la date de correction ? J'ai une machine sous 2000 sur laquelle j'applique concienseument tous les patches de Microsoft, pour l'instant ca plante toujours... Pourtant ce ne doit pas etre bien compliqué à corriger, non ?

              • [^] # Re: On tient un champion là....

                Posté par  . Évalué à 1.

                et on continue... on dit que Microsoft ne devrait pas comptabiliser les failles Linux qui ne sont pas liées au système à proprement parler, qu'ils trichent en ajoutant les failles d'autres applications libre et vlan... On parle d'un bug de IE/OL! 'tain, on va avoir l'air fin quand on va répondre: "ben pourquoi tu comptes les failles de IE ? je pensais qu'il ne fallait compter que les failles du kernel ?"

                Et là, on répond quoi ? qu'il peut compter les failles de Mozilla?

                Alors s'il vous plaît, essayons de nous comporter comme on voudrait que les autres se comportent.

                • [^] # Re: On tient un champion là....

                  Posté par  . Évalué à 1.

                  Bon, je croyais qu'on parlait de Microsoft. Pas ma faute s'ils ont un tel monopole qu'ils détiennent aussi le monopole des bugs ;-)

                  Mais effectivement il faut voir si on compare Windows 2000 SP 4/Linux 2.4.XX redhat 7.2 ou si on parle en général des bug du grand méchant Microsoft face aux softs libres.

                  Honnêtement je trouve que la gueguerre concernant les failles noyaux, buffer overflow est ridicule, car ces failles là sont toujours difficilement détectables a priori et corrigées très rapidement par les deux camps : le match est nul.
                  Par contre on ne cause pas assez des "petits" bugs qui empoisonnent la vie du pauvre utilisateur, du style de celui que je décris - même si celui-là il faut le faire exprés, il y en a d'autres, pas ex tous les bugs de gestion des css par IE. Microsoft a déclarer qu'il ne sortira pas de nouvelles version avant Longhorn, à part des patches de sécurité dont je me fout éperdument pour mon utilisation quotidienne ; ce genre de chose devrait plus faire réfléchir les utilisateurs finaux que des considérations de sécurité sur des failles obscures. Utilisez plutôt comme argument : "Mozilla évolue tous les mois, les nouveaux standards sont implémentés, les pages sont plus belles. IE est un projet mort, c'est buggé et ne sera jamais corrigé"

              • [^] # Re: On tient un champion là....

                Posté par  . Évalué à 1.

                Dans les 2 cas c'est grâve, pour un soft de ce prix, et sur lequel on n'a aucun moyen d'action.

                Quel prix ? IE est gratuit.

                Quand au fait que c'est grave, dis moi donc, ton browser plante combien de fois par mois a cause de ce bug ?

                1 fois ? Je suis sur que c'est meme moins que ca.

                Alors oui, ce bug va mettre bcp de temps a etre corrige, tout simplement car il n'est pas important, meme si il est stupide, car il n'emmerde quasiment personne, il y a d'autres bugs qui ont priorite sur lui.

                Va jeter un oeil a bugzilla pour Mozilla, tu y verras des bugs datant de plusieurs mois dedans, et c'est tout a fait normal, c'est comme ca qu'est gere un gros projet logiciel.

                • [^] # Re: On tient un champion là....

                  Posté par  . Évalué à 1.

                  >>Dans les 2 cas c'est grâve, pour un soft de ce prix, et sur lequel on n'a aucun moyen d'action.

                  > Quel prix ? IE est gratuit.

                  Non, il est fournit d'Office avec Windows, donc on le paye avec.

                  > Quand au fait que c'est grave, dis moi donc, ton browser plante combien de fois par mois a cause de ce bug ?

                  >1 fois ? Je suis sur que c'est meme moins que ca.

                  ok, je reconnais, je me faisais l'avocat du diable. Ce bug est ridicule, j'en conviens (quoique un collègue qui est sous Outlook et a qui j'ai envoyé le bug dans un email HTML n'a pas trouvé drôle de voir son Outlook planter... bizarre, non ? ;-) )

                  Tu mentionnes ensuite des bugs plus importants, peux-tu me dire quand sortira le prochain patch d'IE, ou le prochain correctif, pour tous les bugs de css qui empoisonnent réellement la vie ?

                  A propos des bugs de mozilla, ils concernent quasiment tous la version de developpement, donc forcément instable. Et dans le rapport de bug, il y a une case Milestone, qui indique quand le bug devra être corrigé.

                  Je réitère ma question, au risque d'être lourd : quand y-aura-t-il le prochain patch/évolution d'IE, qui corrigera les "autres bugs qui ont priorite sur lui". (Ex : va sur http://www.w3.org/Style/CSS/bug(...) avec IE et mozilla, et regarde le menu a droite, fait défiler la fenêtre...)

                  Pour info le SP1 d'IE6 date du 9/9/2002.

        • [^] # Re: On tient un champion là....

          Posté par  . Évalué à 2.

          Y'a un équivalent de Sendmail sur le CD d'installation de Windows ?

          Il y a un serveur SMTP

          • [^] # Re: On tient un champion là....

            Posté par  . Évalué à 3.

            De toute facon c'est ridicule de comparer Windows avec une panoplie de logiciels libres regroupes sous le nom "Linux". S'il veut comparer les trous de Windows avec un autre OS, il n'a qu'a comparer, par exemple "Windows 2003" avec "RedHat Linux 8.0" et la ce sera deja plus coherent - encore que, RedHat vient apporte beaucoup plus de fonctionnalites (= logiciels livres avec) qu'un Windows tout neuf sans softs exterieurs.

          • [^] # Re: On tient un champion là....

            Posté par  . Évalué à 2.

            Le forwarder de mail n'est pas un serveur SMTP ;-)

            bon... ok! ok! je sors -->[]

          • [^] # Re: On tient un champion là....

            Posté par  (site web personnel) . Évalué à 1.

            C'est vrai, il n'est pas fournit sur le CD, mais il nous est fourni gratuitement et très rapidement via mail avec un attachement executable dés qu'on a installé Outlook & Co ...

            • [^] # Re: On tient un champion là....

              Posté par  . Évalué à -4.

              T'en fais pas, la meme feature est dispo sur Linux a travers les buffer overflows dans OpenSSH, wu_ftpd, bind, sendmail, etc...

              Linux n'est pas en retard la-dessus.

              • [^] # Re: On tient un champion là....

                Posté par  . Évalué à 1.

                Ah ouais, c'est vrai ...
                heu... tu peux me rappeler en combien de temps cela a été corrigé ?
                moins de 24h ? ok!
                et pour les patchs IE/Win ? .... ah ! on me fait signe dans mon oreillette qu'on attend encore !
                Ah! on me refait signe dans mon oreillette que je viens de te :

                \o_

                o_
                \

                *cccasssssééée*

                --
                Brice de Nice ... je casse les pBpG tout les matins ... ca purifie la vague !

                • [^] # Re: On tient un champion là....

                  Posté par  . Évalué à 0.

                  Tu me rappelles en combien de temps le patch ptrace a ete corrige ?

                  • [^] # Re: On tient un champion là....

                    Posté par  . Évalué à 1.

                    Au moins, lui a été corrigé   >-)
                    On attend toujours certains patchs chez MS !
                    Peut-être qu'ils devraient utiliser AntiBug de notre cher Jayce ! ca avancerait plus vite !

      • [^] # Re: On tient un champion là....

        Posté par  . Évalué à 1.

        C 'est vrai qu'il a une vraie tête de vainqueur...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.