Benjamin François a écrit 410 commentaires

La différence avec NetBSD, c'est que les mecs de l'équipe NetBSD ne présentent que du libre lors de ce salon. Apple présente uniquement des trucs proprios avec comme justification "ah, mais on fait aussi du libre" alors qu'ils pourraient mettre en avant le fonctionnement de logiciels libres sur leur plateforme. Passe un peu de temps sur le stand Apple, si tu entends une seule fois le mot "libre" ou le mot "linux" dans la bouche d'un mec du stand, c'est quand son interlocuteur lui en parle et uniquement dans ce cas-là.

Comme à leur habitude. C'est pourtant pas difficile d'amener une machine avec un Linux dessus, mais jusqu'ici ils ne l'ont jamais fait... Il faut croire qu'ils prennent Solutions Linux pour un bon moyen d'appater le client en ayant comme unique justification pour leur présence les rares trucs Open Source de OSX.

Va falloir apprendre ce que c'est qu'un point Godwin avant de vouloir jouer les Zorro.

On va avoir le droit à toute la génèse de la Mandrake 10.0 ici ! J'aime bien Mandrake, mais là c'est abusé quand même. 10.0 preview, 10.0 beta1..

C'est pas pire que les trois news sur MandrakeMove en première page en l'espace d'un mois.

Moi je vois que quand on ose critiquer microsoft, une horde de bien-pensants arrive immédiatement pour crier au scandale.

Ah bon ? Où ? Quand ?

J'enfonce le clou. S'il a installé une Mandrake sur la machine, je comprends le ramage.

The game is being developed by 'leet Polish haxx0r, Patrys, and his Wurmz Support Team - the team itself can be called 'international' now, becase some non-Polish people are helping with Wurmz! now. But no French.

C'est des bons gros cons, oui.

> Ne plus avoir de non-free ne me poserait à moi aucun problème. Mais par
> contre, ça diminuerait sérieusement le nombre de personnes que je passerai
> sous Debian !

Pourquoi ? Qu'est-ce qui t'empêche de spécifier en prime un repository apt comme ceux de apt-get.org ou celui de Marillat ?

> En effet, déjà que le support matériel n'est pas encore au point, le support de
> certains périphériques[3] posent toujours problème.

Qu'est ce que c'est que ce troll a deux balles étayé par strictement aucune argumentation concrète ? C'est du vent. Zéro.

> La force des Logiciels Libres est l'interopérabilité, pas l'intégrisme à outrance, qui ne peut que nous nuire.

Debian s'est toujours voulue 100% libre, c'est un choix de départ écrit dans le policy, non-free n'a jamais fait partie des sections officielles de la distribution. Si ça ne te plaît pas, tu es complètement libre d'utiliser autre chose.

> Peut-être parce que Mandrake, c'est du Linux, et BSD du BSD (donc un sujet connexe).

Ah, c'est pour ça qu'il y a eu 3 news sur MandrakeMove en première page en moins de deux mois ? Pas mal pour un truc qui ne fait finalement pas tellement plus de choses qu'une Knoppix ou une Mepis. Alors l'actualité était peut-être un peu faiblarde, mais 3 news pour une seule release, merci quoi.

Sinon, à noter le titre et le corps de la news, toujours aussi maladroit. Dire "Sortie de la FreeBSD 5.2" est syndrôme de confusions chez le débutant qui va confondre FreeBSD avec une distribution Linux. Pourquoi ne pas simplement dire "Sortie de FreeBSD 5.2" ?

> http://perso.club-internet.fr/ludwig2/antimsfr.htm(...)

Quelle belle URL, il y a quasiment une erreur par ligne. Morceau choisi, je copie tout parce que c'est vraiment trop bidonnant tellement c'est un ramassis de conneries :

Il y a quelques années déjà, un fou d'informatique développa un système d'exploitation révolutionnaire: PC/M. Jim Kendal fut le premier à penser au BIOS. Cette petite chose permettrait aux fabricants d'ordinateurs (IBM à cette époque) de construire du nouceau matériel qui irait sur des ordinateurs déjà construits. Quelle merveilleuse idée. Les gens pourraient ajouter un disque dur ou changer de lecteur de disquettes...
Ce type a aussi déveoppé PC/M, l'ancètre du bon vieux DOS. Le grand méchant Bill l'acheta pour une bouchée de pain (Jim Kendall s'occupait d'ordinateurs, pas de commerce, au contraire de certains autres...) et, avec l'aide d'IBM, en fit un standard. A ce moment IBM/Microsoft avaient déjà conquis le marché.
Microsoft améliora PC/M pour en faire MS DOS, alors que d'autres compagnies firent des DOS (DOS veut dire Disk Operating System. Ca n'a rien à voir avec Microsoft). Norton crea Norton DOS. 4 DOS, dr DOS, Novell DOS, et d'autres sortirent sur le marché, rapidement engloutis par le monstre MS. D'où le standard MS DOS. La première partie de l'Empire construite sur le corps de Jim Kendal. (Il est réellement mort, au fait, alors que Bill est toujours en train de s'amuser).

Mes aïeux, qu'est ce qu'il ne faut pas lire.

Comme à peu près n'importe quel programme SDL. MPlayer a fait une news là-dessus, comme si c'était une nouveauté dans leur code alors qu'il n'en est strictement rien.

Enfin bon, on sait depuis longtemps que Gabucino est un abruti, ça ne risque guère de s'arranger.

Il ne sert strictement à rien de jouer à Q3 à 200 fps. Par contre, c'est bien utile d'y jouer à 83 fps.

> Je te parle pas de l'info, où en equivalent BAC+3, ils se savent pas
> brancher un cable réseau, je carricature mais c'est un peu l'esprit....

Sans vouloir t'inquièter, c'est pas beaucoup mieux en France dans certaines écoles d'ingénieur. Non, non.

> Outlook/IE ne te donnent pas d'elevation de privilege quand tu les
> hacke, ils te donnent acces a l'user meme, rien d'autre
> Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire
> executer quoi que ce soit si tu ne les lances pas.

Et ? Une fois qu'on a eu accès à la machine sur laquelle ils sont et que la personne en face a pas pu les virer, qu'est ce qui empêche de les lancer ? Vas-y, dis ?

> Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ?
> RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et
> que personne n'a pris la peine de l'ecrire pour Linux.

C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like. Moi je sais pas, crier au complot comme d'hab en hurlant que c'est normal, que ça viendra quand Linux aura plus de users, j'arrète pas de l'entendre. Mais en attendant dans les faits on voit quoi ? Rien.

> Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile
> a hacker, vas y, explique moi les raisons techniques que je rigoles.

Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?

> FAUX, il etait installe par defaut
> http://www.linuxsecurity.com/advisories/suse_advisory-614.html(...(...))

En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?

> Ils ne l'ont pas fait car en 2000 Linux etait inexistant.
> Prouves que c'etait techniquement pas faisable, qu'on rigole.

Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?

> Et ? La n'est pas la question, la question est d'utiliser ou pas
> d'autres softs, avoir 2 softs du meme type installes n'est pas le
> probleme.

Arf. Surtout quand celui qu'on peut pas virer est complètement troué et peut servir pour un exploit, hein ? Ah ben oui, sous Linux c'est critique le do_brk(), suffit qu'une personne utilise une autre faille pour accèder à un compte et ça y est, c'est foutu, on va subir le même sort que Debian ! Mais sous Windows non, voyons, pas de problème, on peut laisser traîner en toute confiance des applis qui ont sû démontrer au fil des années leur propension notoire à se faire h4X3r. Félicitations, en quelques posts tu as réussi à perdre toute crédibilité en te contredisant toi-même.

> Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus
> simple ? T'as deja essaye ?

Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?

> Je parles de n'importe quel trou de securite remote, le trou par les
> RPC compris.
> Un ver ce n'est rien d'autre qu'un exploit automatise, rien de
> miraculeux la-dedans, tu peux faire la meme chose sur n'importe
> quelle plateforme.

Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.

> Ce trou etait en 2000, va donc jeter un oeil sur la facilite
> d'utilisation de Debian par rapport a RH et Mandrake a l'epoque,
> tu comprendras tout seul.

Encore des paroles en l'air. Des faits monsieur pBpG, des faits.

> Je te rappelles que c'etait en l'an 2000, pas en 2003

Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?

> Il n'y a pas de peut-etre, la question est: aurait-il ete possible
> d'ecrire un ver par ce trou de securite, et la reponse est
> clairement : Oui.

Ah, et les méchants pirates ne l'ont pas fait parce que Linux c'est bien et que cracker du Windows c'est plus glorieux. J'ai bon ?

Je trouve assez ecoeurant le fait de distribuer des CDs complets de la Mandrake9.2 powerpack pour 10 euros et quelques centimes.

Faudrait savoir ce qu'on veut dans la vie. Si tu veux que personne ne redistribue légalement des CDs avec ta distribution dessus, tu l'interdis. Mais pour le coup, le côté "libre" de Mandrake ferait la gueule.

> Tu m'expliques alors comment font les les gens qui utilisent Eudora
> ou Mozilla sous Windows ?
> Magie noire ?

Tu m'expliques comment désinstaller Internet Explorer et Windows Media Player facilement sous Windows ? Parce que bon, quitte à utiliser un autre soft, autant récupèrer l'espace disque encombré par les autres, hein ? Ah ben non, tu peux pas.

> Et la reponse est fausse.
> 1) Il n'est pas plus complique de hacker un Linux ou un Windows troue

Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?

> 2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux

Je ne dis pas le contraire. Après, manifestement, il y en a de plus faciles à exploiter que d'autres.

> 3) Propager un trou c'est le meme topo sur Linux et Windows,
> quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL

Si tu parles de celui-ci : http://www.linuxsecurity.com/articles/security_sources_article-5699(...) il faut Apache. Allo ? Ça fait combien de fois que je t'en réclame un qui se propage de la même façon que Blaster, c'est à dire _sans_ serveur sur la machine ?

> On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque
> il utilisait Redhat ou Mandrake, certainement pas Debian.

Et pourquoi pas ? C'est quoi tes sources ?

> C'etait sur un service demarre par defaut, donc tous les
> utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin
> d'installer NFS, le service etait deja la, et demarre par defaut.

Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.

> N'importe qui aurait pu ecrire un ver qui se propage par cette
> porte d'entree.

Je note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.

>Bref, la seule difference avec Blaster, c'est que qq'un a ecrit
> Blaster, alors que personne n'a pris la peine d'ecrire un ver pour
>la faille sous Linux (vu que tres peu de gens utilisent Linux).

Ha ha ha, elle est bien bonne. Bon, non seulement tu réponds à coté de la plaque mais en plus tu en profites pour rajouter les conneries habituelles entendues mille fois. Moi qui avais coutume de penser que tu te faisais moinsser uniquement pour délit d'opinion, je constate que finalement niveau mauvaise foi et ignorance tu fais aussi fort que la plus intégriste des moules qui traîne ici-bas. Félicitations.

> D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?

Parce qu'un soft indépendant de l'OS, quand il est troué et qu'on le sait troué depuis des années, on peut le virer sans difficulté pour le remplacer par un autre moins troué ?

> La question est : tel OS est-il plus protege que l'autre contre ce type
> d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.

Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.

> Voila je t'en ai trouve un, dans un service demarre par defaut sur
> plusieurs distributions comme dit plus haut, et le plus drole est que
> le service est le meme type de service que pour Blaster : RPC.

Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.

Mais oui, il y en a. Jamais je ne l'ai nié. Mais quand il y a une faille dans un logiciel Adobe, est-ce qu'on accuse Microsoft, nous ? C'est très facile de ta part de clamer "haha, mais y'a des failles dans Evolution et Mutt !", alors que ce sont des logiciels complètement indépendants de l'OS (parce que oui, contrairement à ce que ta boîte voudrait faire croire, un browser web, un lecteur multimedia ou même un gestionnaire de fichiers, ça _doit_ être indépendant de l'OS).

De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).

Eh bien moi, ce que je dis, c'est qu'un utilisateur lambda qui n'a pas Apache sur sa machine ou autre serveur-like (parce que de toute façon il n'en a rien à foutre) et qui est seul et unique utilisateur dessus, il n'a pas un besoin impérieux de patcher cette machine. Contrairement à l'utilisateur lambda sous Windows pour qui c'est complètement indispensable.

C'est ça, la différence.

C'est vrai que c'est vraiment pas secure Linux hein. Faut juste utiliser 2 exploits successifs pour passer root sur la machine avec le trou local. Et après tu vas nous dire que c'est comparable avec Blaster ? Cette question tient aussi pour les gens qui ont moinssé mon précédent commentaire.

> Tu me créé un compte sur ta box stp ? :-)

Ben non, justement, eh.

> C'est vrai, t'es pas oblige de patcher.
> Tu as la liberte de risquer le meme sort que gnu.org ou debian

C'est vrai qu'avec une faille locale, je suis mort de peur.

La télévision publique a aussi un certain nombre de mission à remplir. Information, formation, ...

Oui, d'ailleurs ça serait sympa si y'avait des gens au courant de ça chez France Télévisions.