Gil Cot ✔ a écrit 6383 commentaires

Si c'est inutile alors on peut virer…
--->[]

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Moi je vais faire simple : j'ai passé 13 ans dans la sécurité du code de Windows, en user et Kernel. […] A choisir je prends Windows. Le code est plus clean, Lea pratiques sécurité de MS pour la qualité du code sont plus avancées que ce qu'on trouve sous Linux et ce mythe que le code Linux est revu plus parce que livre est un gros gag.

Je présume que tu as commencé genre avec 3.1 ? En tout cas t'en as de la chance que n'ont pas les autres : peut-être qu'on aurait aussi une vision énamourée de leur système si on pouvait passer aussi du temps dans leurs sources clean.

La triste réalité est que les gens qui critiquent la sécurité de Windows sont typiquement des gens qui ne comprennent rien à la sécurité et à Windows.

D'accord que toutes les personnes causant de sécurité n'ont pas d'expertise en sécurité. Mais il y en a quelques unes quand même (même si je ne sais pas si elles sont intervenues sur cette page.)

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Si, si, relis bien : c'est un détournement au niveau DNS (avant même d'établir la transaction TLS) qui fait le navigateur va se retrouver à faire sa poignée de main avec le mauvais site (homographe) ; on peut ou non lui faire abandonner la connexion sécurisée (c'est au choix car la personne qui attaque a la main) et si on poursuit ce sera avec le mauvais site sans que ça pose de souci au butineur (dès lors qu'il croit interagir avec la bonne adresse il dit amen.)

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Oui, les trombi des anciennes promos (ou classmates comme on dirait outre Atlantique.)

PS: 2000/2011/1995 …pourquoi on a permis que 2004 prenne l'ascendance au point de devenir la plaie que l'on connait ? mystère bleu.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Tu as quand même décidé d'automatiser et choisi tes horaires ; c'était ça le message du commentaire.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Ai lu et me suis marré presque tout en pleurant. Merci beaucoup.
Et félicitations en passant Informaticien CFC :-)

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

my bad ! C'est le symbole « K » mais le nom est en minuscules ; et surtout il n'y a pas de degré (combien de fois les profs ne nous ont pas repris dessus …mais les réflexes °C/°F ont la vie dure.) Pour la peine, je vais faire 1380649 copies de ta phrase.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Au pire la machine va peut-être finir par appliquer sa maj

C'est vraiment la pire chose de la part d'un système qui vous respecte…

C'est qui l'admin … ta machine ?

Ces trucs ont une vie propre et on est à leur service : c'est que système d'exploitation chez Redmond signifie que c'est lui qui vous exploite…

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

XP ?!?

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Justement, remplacer des bouts qu'on a choisi, pas d'avoir des trucs qui remplacent n'importe comment n'importe quoi dans votre dos.
Moi j'aimerais que tous les applis qui ont besoin de rendu HTML utilisent celui que j'ai choisi et que le moteur élu soit mis à jour indépendamment depuis son canal dédié. Pas que Timz remplace par ce qui lui convient dans la version qui lui convient et qui est peut-être même pas à jour, puis que si j'installe Zmit ça remplace par un autre dans une version qui casse toutes les autres applis, etc.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Oui sous vérins états-uniens.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Attention, l'unité SI pour les températures est le degré Kelvin et non le degré Celsius…
Sinon je me demande si leur échelle n'est pas parti d'un truc logarithmique, et aussi s'il n'ont pas pris des températures ressenties.

Dans la même veine, il y a le standard des feuilles de papier qui ressemble à ce qu'on avait au moyen-âge, avant ISO 216. Je me demande comment ils font des agrandissements et réductions sans se prendre la tête (photocopier/imprimer par exemple un A4 sur du A3 ou du A5 ne pose pas de souci pour nous ; mais quand tu passes de Letter à Executive ou l'inverse je te raconte pas la misère…)

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Mon navigateur ne choisi pas pour moi et ça me convient. C'est pour cela que je me suis rendu compte que certains proposent du http à côté du https.

Pour la responsabilité nous sommes d'accords. Mais ce n'est pas de la malfaçon s'il n'a pas fait le choix (on espère éclairé) de mettre du TLS.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Tu parles de son petit site sans prétention, mais qui te dit qu'il ne sera pas visité par quelqu'un qui lui a des responsabilités dans une grosse boite d'IT et que donc par le biais de ce petit site, un pirate va se voir ouvrir des portes bien plus grandes ?

C'est pour ça que je parle de cases à cocher. Il faut que la menace soit évaluée et la balance bénéfices-risques bien pesée. On ne va pas faire des injonctions en se faisant des films de si ; et les recommandations ne sont pas des obligations.

Moi je connais un mec il a foncé dans un arbre avec sa voiture et il a survécu.
Vas-y, t'inquiète y a pas de soucis ;)

Non, tu travestis mon propos. En plus l'analogie est foireuse : foncer dans un arbre n'est pas une façon normale de conduire une voiture que je sache.
- hey mec tu as un porte-monnaie au lieu d'un coffre-fort, c'est une malfaçon
- /moi: ce n'est pas une malfaçon si c'est son choix en connaissance de cause ; il n'a peut-être pas besoin d'un coffre-fort pour les quelques centimes qu'il transporte pour acheter des bonbons. ou d'avoir une serrure trois-points avec alarme sur sa cabane de jardin si ça n'abrite rien de sérieux.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Si, si, j'ai bien compris le propos. Je fais juste remarquer que si OpenOffice ne le fait pas, il y a de la marge pour l'usager lambda qui n'a que du texte sans trop d'intérêt (à première vue.) Si c'est un choix, on ne peut pas parler de mal configuration.
Il y a des cas où c'est obligatoire, mais là les cases ne sont pas cochées.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Oui, j'ai voulu prendre des sites bien connus, quasi institutionnels, qui offrent un accès non certifié et qu'on sait pourtant ne s'en foutent pas du contenu délivré. Contrairement à d'autres, ils ne font pas la redirection http→https

Sinon, j'ai dans mon historique récent : Abandonware Magazine ; Christophe Cassar ; DataMath ; Jodies' IP calc ; Khai's p k v ; Olivier Allard-Jacquin ; Vintage Calculators ; Xha Code ; YAML Lint ; et plus.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Bof… gnu.org ; git-scm.com ; videolan.org ; cygwin.com ; openoffice.org ; etc. Si eux se font pas insérer du contenu illégal/dangereux, ce n'est pas le petit blog de Gens-Mi avec une dizaine de pages qui va intéresser le méchant homme du milieu (protection au passage relative pour les internautes de l'empire du milieu)

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Nous disons donc la même chose sans tirer les mêmes conclusions :-)

La question c’est surtout d’avoir les bons yeux dessus: a savoir des gens qui savent ce qu’ils font et comment auditer […] Une fois disclosé, la communauté (celle qui sait ce qu’elle fait) a trouvé 4 autres problèmes en 24 heures.

Je ne me tiens pas au jus de toutes les failles et leurs résolutions, donc peux me tromper ; mais je n'ai pas encore rencontré de logiciel propriétaire où une vulnérabilité signalée est traitée en moins de deux semaines avec en prime la correction de quatre autres problèmes.
Que le souci ait été présent un quart de siècle est effectivement que les gens capables ne sont pas penchés dessus jusqu'au coup de projecteur. Encore que, rien ne nous dit que cela aurait pu être fait à cette époque (l'état de l'art et surtout les connaissances évoluant, du code devrait être audité tous les trois à cinq ans : on trouvera toujours façon à protection/durcissement…)
C'est pour ces raisons que je n'ai pas trouvé ces exemples pertinents (en plus d'avoir l'impression que tu retournes la transparence du libre contre elle, comme les personnes qui défendent les sources fermées pour ne justement pas donner le bâton pour se faire battre) …même si je suis aussi contre le raccourci « librement auditable & vérifiable par tous » = « audité » (et en l'occurrence bon nombre de codes, dont bash, ne sont pas audités.) C'est plus sûr de pouvoir voir si ça cloche (au lieu d'avoir la poussière sous le tapis), mais ça ne veut pas dire que tout Internet l'audite /o\

Et aussi me fait questionner la compétence sécurité du projet.

Je pense qu'elle vérifie juste des trucs évidents mais ne peut pas faire de travail de fond parce-que, comme tu le cites, il faudrait une réécriture complète avec la sécurité en tête. « Bash's parser is certain have many many many other vulnerabilities; it was never designed to be security-relevant » :-(

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Euh… stackoverflow.com/questions/1691059 (ta connaissance du langage Ada, utilisé pour des trucs critiques, n'est pas en accord avec celle de gens qui l'utilisent…)

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Y a pas de certificat mal configuré ; c'est un site en http-tout-court.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

https://www.bitdegree.org/tutorials/most-used-programming-languages/ par exemple me cite Visual Basic en troisième position… et ne mentionne ni Go ni Rust…

PL/1 reçoit de l'attention par rapport aux nouveaux truc https://github.com/guija/pl1
Et y en a encore qui en discutent (un mort bien plus vivant qu'il n'y parait) https://news.ycombinator.com/item?id=29351989
On nous disait déjà, avant de conclure, que PL/1 et COBOL sont immortels ; et juste avant que Lisp vaut toujours le coup sous sa nouvelle peau Clojure https://insights.dice.com/2014/09/08/unpopular-programming-languages-prove-lucrative/
Pour la route https://github.com/trending/common-lisp https://github.com/trending/clojure?since=daily https://github.com/trending/cobol?since=daily

En fait, c'est comme Ada et d'autre ici https://www.quora.com/What-are-some-truly-dead-programming-languages : des gens qui n'utilisent pas, ou ne sont pas dans un milieu où on leur en parle, pensent que c'est mort. Ça me rappelle une personne de mes connaissances qui me soutenait mordicus que Linux était mort et qu'il n'y a pas d'entreprise sérieuse qui l'utilise.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Non, non, pas de technique ; c'est pourquoi je proposais de faire un dessin (une illustration vaut mieux que milles mots)
Ce que j'ai compris, c'est comme là, le « Was this article helpful? Let us know! » toujours affiché en bas de la liste des commentaires https://www.inmotionhosting.com/support/edu/phpbb/new-reply/

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Tu prends justement un exemple qui dit tout le contraire de ce que tu cherches à lui faire dire. Shell Shock bah la correction était disponible depuis des lustres …justement parce-que des yeux avisés se sont rendu compte que la portion de code ne devait pas s'écrire ainsi et cela a été corrigé. Cette correction n'a pas été appliquée par les distributions parce-que personne n'a vu de différence pendant plus de vingt ans. Dès que quelqu'un a su exploiter la chose, ça s'est rapidement su, puis on a compris l'utilité des lignes de codes rajoutées depuis belle lurette. Toutes les distributions actives ont proposé le binaire corrigé en moins de quarante-huit heures. La transparence n'a pas fait défaut mais visiblement tu as préféré fermer les yeux et faire comme si c'était comparable à du Wana Cry…

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Je te taquinais pour le trente-huit tonnes :-)

OK, du coup, on pourrait faire le même type de mise en parallèle entre Go et Rust… Si quelqu'un s'en sent le courage.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume

Les serveurs Linux sont enrichis en logiciels libres, qui sont probablement mieux audités et mieux mis à jour que certains logiciels propriétaires, et les failles de sécurité sont gérées de manière plus transparente (à commencer par l'OS)

Ouais, alors là, pour le coup, on a un certain nombre d’exemples cette derniere décennie qui prouvent que non, pas du tout. Genre Shell shock, genre heart bleed, genre Debian OpenSSL.

Ces exemples prouvent qu'il ne s'agit pas de logiciels libres ? Ou prouvent que ce n'est pas audités ? Ou la preuve que les failles de sécurité ne sont pas gérées de manière transparente ? Je n'ai pas du tout compris.

“It is seldom that liberty of any kind is lost all at once.” ― David Hume