Journal Steve Gibson accuse Microsoft

Posté par  (site web personnel) .
Étiquettes : aucune
-1
13
jan.
2006
Coup de pub, vengeance *, erreur ou fud diabolique, toujours est-il qu'aujourd'hui le médiatique [1] et controversé [2] Steve Gibson jette un gros pavé dans la marre en accusant Microsoft d'avoir délibérément placé la faille WMF dans son code pour ouvrir une backdoor. Tout du moins un employé de chez Redmond l'aurait fait intentionnellement puisque d'après lui une telle erreur de programmation semble impossible:
So we just all kind of presumed this was another one of those coding errors that Microsoft now famously makes and corrects on the second Tuesday of every month. This wasn't a programming error. And, you know, so it's like, whoa. When I give it the magic key on the size of the metafile record, then it jumps directly into my code.

Il est vrai qu'à l'écoute [4] ou à la lecture de cette discussion [3] qui éclaircit un peu le mécanisme de la faille, on se demande s'il se fourvoie complètement (ce qui lui est déjà arrivé par le passé avec l'histoire des raw sockets) ou s'il détient là une information de nature à faire du bruit dans le Landerneau de l'informatique.

Toujours est-il qu'on ne peut que lui donner raison sur certains points:
Leo: Could there be other backdoors like this?
Steve: Well, yes. I mean, that's the problem with a closed source operating system like...

Alors pétard mouillé ou vraie bombe à retardement, à vous de vous faire une idée.

[1] http://www.grc.com/media.htm
[2] http://grcsucks.com/
[3] http://www.grc.com/sn/SN-022.htm
[4] http://aolradio.podcast.aol.com/sn/SN-022.mp3
* Steve Gibson a encore en travers de la gorge les discussions avec les responsables sécurité de chez Microsoft.
  • # Le pauvre...

    Posté par  . Évalué à -6.

    C'est dingue a quel point il est pret a passer pour un idiot histoire de se faire de la pub...

    Certains n'ont pas peur du ridicule, il en fait partie.
    • [^] # Re: Le pauvre...

      Posté par  . Évalué à -7.

      C'est pas parce que vous n'êtes pas d'accord avec pBpG qu'il faut systématiquement le moinsser.
      • [^] # Re: Le pauvre...

        Posté par  (site web personnel) . Évalué à 7.

        Ca se saurait, si sur dlfp, on voulait des débats constructifs avec les opinions adverses.
        Mais non, on préfère croire que nous on a compris, et que les autres ont forcément complètement tord, en leur retirant la parole, histoire de...
      • [^] # Re: Le pauvre...

        Posté par  . Évalué à 10.

        En même temps si pBpG avait rapporté d'anciens commentaires/discours de ce Steve Gibson qui montre clairement que c'est un idiot qui cherche seulement à se faire de la pub alors son commentaire aurait été intérêssant/pertinent.
        Là il ne fait que dire que c'est un idiot qui n'a pas peur du ridicule... Ce n'est pas réellement constructif comme remarque. C'est seulement un point de vue sans argument.
        Personnellement je ne trouve pas ce commentaire pertinent alors que je ne connais même pas ce Steve Gibson et surtout j'ai déjà vu des commentaires de pBpG beaucoup plus intérêssant que celui là.
    • [^] # Re: Le pauvre...

      Posté par  (site web personnel) . Évalué à 8.

      Un commentaire stipulait que cette faille provenait du fait que lorsqu'un WMF était invalide, il était considéré comme du code executable, ou il exécutait un bout de code intégré au WMF.
      Ca me semble assez gros comme faille quand même...
      Après, il faudrai avoir les détails exactes de cette faille.
    • [^] # Re: Le pauvre...

      Posté par  . Évalué à 7.

      Juste pour ma culture G(eek) : peux-tu argumenter un petit peu s'il te plait ?
    • [^] # Re: Le pauvre...

      Posté par  . Évalué à 8.

      Huh ? en quoi il est ridicule ? Il argumente sur une faille avec des faits pour le moins troublants (une taille de 1 pour un header, qui lance un thread et execute le code, image dont on peut apparemment afficher depuis IE : je trouve ça énorme, un truc aussi dangeureux on le met au moins entre #ifdef DEBUG).

      Alors, soit c'est de l'incompétence crasse de la part de Microsoft, soit c'est délibéré. Je suis le premier à casser du sucre sur Microsoft, mais ça m'étonne qu'un truc pareil ait pu passer.
      • [^] # Re: Le pauvre...

        Posté par  . Évalué à 1.

        Non c'est tout simplement l'implementation du format WMF, qui pour certains records n'est que l'instanciation directe d'un appel de fonction, bref il est tout a fait normal de voir du code s'executer si t'as un overflow qqe part vu que le record n'est rien d'autre que les parametres de la fonction.
        • [^] # Re: Le pauvre...

          Posté par  . Évalué à 8.

          Mouais, c'est ce que semble dire un gars dans un autre article :

          http://www.grc.com/sn/SN-021.htm

          Il a désasembler la lib en question, et apparemment, la dll exécute bien du code arbitraire contenu dans le fichier.

          Amusant quand même. Cette "feature" doit être présente depuis 15 ans dans Windows et une armée de programmeurs, payés, n'a pas été capable de trouver un truc pareil. Sans parler des soit disant audits, pour se la péter dans des rapports style Get The Fact.

          Quand je pense que sous Linux, une poigné de développeurs ont réussi à débusquer une faille où un == a été transformé en =, qui donnait les droits root en faisant un appel système, perdu dans des millions de lignes de code. J'ai envie de dire : Mouhahahhahahhaaaa !
          • [^] # Re: Le pauvre...

            Posté par  . Évalué à 4.

            Amusant quand même. Cette "feature" doit être présente depuis 15 ans dans Windows et une armée de programmeurs, payés, n'a pas été capable de trouver un truc pareil. Sans parler des soit disant audits, pour se la péter dans des rapports style Get The Fact.

            C'est toi qui n'a pas compris, l'execution de code c'est pas le probleme, c'est un bug dans la fonction qui cause l'execution d'une maniere erronee.

            Quand je pense que sous Linux, une poigné de développeurs ont réussi à débusquer une faille où un == a été transformé en =, qui donnait les droits root en faisant un appel système, perdu dans des millions de lignes de code. J'ai envie de dire : Mouhahahhahahhaaaa !

            Ouah c'est genial, tu veux une liste de tous les bugs qu'ils n'ont pas reussi a trouver et qui ont mis des annees a etre corriges ?
            • [^] # Re: Le pauvre...

              Posté par  (site web personnel) . Évalué à 6.

              Oui, je veux bien.
              Et tant qu'à faire, tu peux faire aussi la même chose du côté de chez Microsoft puisque tu y travailles. Et par la même occasion, donnes aussi la liste des bogues connues mais que Microsoft ne "veut" pas corriger. Là, sur ce dernier point, ça peut-être intéressant.
    • [^] # Re: Le pauvre...

      Posté par  (site web personnel) . Évalué à 5.

      Les accusations de Steve Gibson sont graves mais il avance des points très troublant dans son analyse. Par exemple, il dit que ce n'est pas une faille ordinaire, il faut mettre une combinaison précise pour l'activer.

      Dénigrer Steve en le faisant passer pour un huluberlu et une façon simpliste d'écarter le débat et de refuser les explications.

      PBPG, es-tu capable de démontrer ici que ce qu'avance Steve est faut ? Si il dit faut, prouve le, par exemple tout simplement en montrant le code en question que l'on puisse juger.
      • [^] # Re: Le pauvre...

        Posté par  . Évalué à 3.

        Je n'ai jamais vraiment regardé gcompris, mais il n'y a pas d'activité(s) style vrai ou faux dedans ? ;-)

        (Bon, moinssez moi, je fait souvent plein de fautes aussi, mais je n'aime pas celle là ;-) )
      • [^] # Re: Le pauvre...

        Posté par  . Évalué à 9.

        Ce que cet idiot dit :

        So what I found was that, when I deliberately lied about the size of this record and set the size to one and no other value, and I gave this particular byte sequence that makes no sense for a metafile, then Windows created a thread and jumped into my code, began executing my code. Okay, Leo? This was not a mistake. This is not buggy code. This was put into Windows by someone.

        Bref, il se demande pourquoi quand il met 1 avec une sequence de bytes fausse Windows creait un thread et executait son code.

        Il n'y a rien de troublant pour qq'un qui sait a quoi ressemble le format WMF ( http://www.whisqu.se/per/docs/wmf.htm )

        cf. la partie Enhanced Metafile Records

        La tu te rendras compte que ces records sont en fait les parametres d'un appel de fonction, bref, bcp de records du format WMF ne sont rien d'autre que des appels de fonction, les parametres etant les membres du record.

        Une fois que tu sais ca, tu ne t'etonnes pas qu'un thread demarre et execute le code des parametres, vu qu'il faut executer la fonction, mais monsieur Gibson lui, deja il n'est pas foutu de comprendre ca, et en plus il essaie de se faire de la pub sur le dos de MS.
        • [^] # Re: Le pauvre...

          Posté par  (site web personnel) . Évalué à 10.

          Ce n'est donc pas un bug mais une foctionnalité......
          • [^] # Re: Le pauvre...

            Posté par  (site web personnel) . Évalué à 5.

            Maintenant on aurra deux "features" non pise en charge par linux ;)
            - virus/spyware/malware/etc...
            - wmf

            Bon, a quand le prochain ajout a cette liste de "feature" indésirables ?
            • [^] # Re: Le pauvre...

              Posté par  . Évalué à 10.

              La faille marchait sous Wine, qui a ré-implémenté le format from scratch d'après la spécification. Donc, techniquement, on pourrait s'amuser à infecter son dossier .wine/drive_c sous GNU/Linux à grand coups de WMF vicieux ;)

              Le fait que ça marche sous Wine me semble également rendre la thèse de la Cabale un tantinet moins probable que la thèse du design hasardeux, non ? :)

              En tout cas, ça c'est de la vraie bug-for-bug compatibility...
        • [^] # Re: Le pauvre...

          Posté par  (site web personnel) . Évalué à 10.

          Enfin la question c'est quand meme est-il normal qu'un format de fichier comme ca puisse exister.

          En gros, on peut definir dans le fichier un pointeur sur une fonction appellee dans certain cas. Il suffit donc de mettre dans l'image le code que l'on veut, et de mettre un pointeur vers cette fonction au bon endroit.

          A ce niveau ce n'est plus vraiment une faille, c'est un trou si beant qu'on se demande si il est pas volontaire.

          A la defense de Microsoft (tiens j'avais jamais imagine dire ca un jour) ce format a ete defini du temps ou ils ne croyaient pas en Internet.
          Mais ceci dit, on pouvait deja se transmettre des moches fichiers meta-file sur disquette.

          Ce que je ne comprends pas c'est comment se fait il que la faille aie mis si longtemps a etre decouverte. Les developpeurs de wine n'auraient-ils pas du la remarquer?

          http://l-lang.org/ - Conception du langage L

        • [^] # Re: Le pauvre...

          Posté par  . Évalué à 6.

          Il n'y a rien de troublant pour qq'un qui sait a quoi ressemble le format WMF ( http://www.whisqu.se/per/docs/wmf.htm )

          Tiens, c'est bizarre, ce lien pour la documentation. On ne trouve pas la documentation du format WMF sur le site de Microsoft ? Je n'ose le croire...
          • [^] # Re: Le pauvre...

            Posté par  . Évalué à 3.

            Non c'est normal, WMF n'est plus supporté qu'à des fins de compatibilité chez Microsoft, normal qu'ils ne fassent rien pour mettre ce format en avant... Et si le SVG peine à s'imposer, c'est que le vectoriel, c'est pas demandé, et puis c'est tout (Avalon y changera peut-être quelquechose).

            Les mecs, vous savez que vous êtes en train de vous défouller sur un format antédiluvien, qui a été inventé dans une autre époque, où il n'y avait pas d'ACLs, où il n'y avait qu'un seul utilisateur, où il n'était même pas rare de booter sur disquette !

            Imaginer que Microsoft ai mis une backdoor pour contrôller le monde, alors que les machines n'étaient même pas reliées entre elles, c'est non seulement faux, mais en plus ça porte un nom : anachronisme...
            • [^] # Re: Le pauvre...

              Posté par  . Évalué à 1.

              > Les mecs, vous savez que vous êtes en train de vous
              > défouller sur un format antédiluvien, qui a été inventé dans
              > une autre époque, où il n'y avait pas d'ACLs, où il n'y avait
              > qu'un seul utilisateur, où il n'était même pas rare de booter
              > sur disquette !

              Désolé de te réveiller, mais en ce qui concerne le multi-utilisateur, UNIX sait faire depuis sa création, en 1970.
        • [^] # Re: Le pauvre...

          Posté par  (site web personnel) . Évalué à 1.

          À lire le document, ce que j'en comprend c'est qu'un fichier WMF doit être considéré comme un exécutable, donc avec des datas et des instructions.
          Effectivement, c'est normal, c'est normal, c'est marqué dans les specs ! Tiens, c'est bizarre, ça me fait penser à d'autres documents de chez Microsoft : les CLUF. Comment ça, vous saviez pas que vous pouvez rien en faire de votre Word ? C'est marqué dans le CLUF !

          Quand le contenu d'un champ texte d'une page WEB va être utilisé pour requêter une base de données, je fait des tests contre l'injection de code SQL, c'est la moindre des choses et je ne pense pas être un expert en sécurité. Alors prétendre à la bonne foi de Microsoft quant à laisser des failles pareilles, soit tu considères que, chez Microsoft, ils en connaissent pas un poil en sécurité, soit toi-même t'y connais vraiment rien, ou les 2...

          "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

          • [^] # Re: Le pauvre...

            Posté par  . Évalué à -4.

            À lire le document, ce que j'en comprend c'est qu'un fichier WMF doit être considéré comme un exécutable, donc avec des datas et des instructions.
            Marrant ce que tu dis la.

            Remplace WMF par Postscript, et ca marche aussi...

            Alors ca voudrait que MS et Adobe n'y connaissent vraiment rien en securite, mais les philosophes de comptoir de linuxfr, eux ils savent ce qu'il faut faire / ne pas faire.
            • [^] # Re: Le pauvre...

              Posté par  (site web personnel) . Évalué à 1.

              T'as fait un sacré raccourcis entre le début et la fin de mon post...

              Je ne vois aucune incompétence à définir un format de diffusion multimédia contenant des datas et du code exécutable. Là où je situe l'incompétence, c'est de ne pas penser que du code exécutable puisse être exécuté sans autre vérification.

              Naïvement, il me semble qu'un exécutable "local" (style bash, ls ou firefox) est installé par un super administrateur et on peut le qualifier d'exécutable de confiance, encore même qu'un noyau bien fait peut vérifier qu'il ne fasse pas de conneries dans le style débordement de pile ou autre joyeuseté. Du code qu'un administrateur n'installe pas, qui est téléchargé ET exécuté par l'utilisateur lambda doit TOUJOURS s'exécuter dans une machine plus ou moins virtuelle qui considère que ce n'est pas un code de confiance et qui va vérifier que ce code n'exécute pas de conneries.

              Il me semble que Postscript fonctionne comme ça (et si ça n'est pas le cas, c'est déplorable), en tous cas javascript fonctionne comme ça. Je m'en fous que ça soit Microsoft ou Tartampion qui ait conçu ce format mais toujours est-il que s'il n'y pas plus de vérification que ça quand un WMF est exécuté, ça montre vraiment une méconnaissance des rudiments de la sécurité...

              Il me semble intéressant de discuter de ces problèmes de sécurité, car en plus je ne suis pas vraiment un spécialiste, mais, d'après tes arguments inexistants et l'élégante prose de ta signature, je doute que ça soit avec toi que j'apprenne grand chose.

              "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

              • [^] # Re: Le pauvre...

                Posté par  . Évalué à 2.

                Je ne vois aucune incompétence à définir un format de diffusion multimédia contenant des datas et du code exécutable. Là où je situe l'incompétence, c'est de ne pas penser que du code exécutable puisse être exécuté sans autre vérification.

                Ben tu sais, c'est comme toutes les failles.

                Un buffer overflow c'est souvent un gars qui n'a pas pense la sur le moment que les donnees arrivant n'etaient pas de la taille specifiee mais plus petites.

                Ce n'est rien d'autre qu'un probleme de securite comme un autre, les gens font des erreurs, et les developpeurs sont des gens comme les autres.
          • [^] # Re: Le pauvre...

            Posté par  . Évalué à 3.

            Quand le contenu d'un champ texte d'une page WEB va être utilisé pour requêter une base de données, je fait des tests contre l'injection de code SQL, c'est la moindre des choses et je ne pense pas être un expert en sécurité.

            Bref, tu es en train de nous dire que toi tu ne fais jamais d'erreur, tout code que tu ecris est 100% securise et verifiable.

            C'est bien ca ?

            Non ? De temps en temps tu te trompes ? Ben voila, meme chose pour les developpeurs ici, ils font aussi des conneries de temps en temps.

            Alors prétendre à la bonne foi de Microsoft quant à laisser des failles pareilles, soit tu considères que, chez Microsoft, ils en connaissent pas un poil en sécurité, soit toi-même t'y connais vraiment rien, ou les 2...

            Moi je dirais plutot choix No 3 :

            Tu n'as absolument aucune idee de ce qu'est le developpement logiciel et tu crois qu'ecrire du code 100% parfait est simple et facile.
            • [^] # Re: Le pauvre...

              Posté par  (site web personnel) . Évalué à 4.

              1/ Je suis développeur. Là tu vas me dire que t'aimerais pas utiliser mes applis...

              2/ Précisément, quand j'ai appris à me méfier des problèmes d'injection de SQL dans les champs textes, j'étais tout débutant mais, heureusement, un gars un tout petit plus féru que moi à tenté d'injecter du code SQL dans mes pages et y a réussi, j'ai donc corrigé le logiciel. C'était une appli absolument pas critique et dans une boîte dont la sécurité n'était pas le corps de métier. Ça s'appelle de la relecture de code, de la qualité ou ce que tu veux mais toujours est-il que ça existe dans n'importe quelle entreprise un tant soit peu sérieuse. Et si - là je suis tout à fait d'accord avec toi - les développeurs sont des gens comme les autres, perfectibles, on multiplie les audits - réels, soit dit en passant -, les relectures et toutes ces procédures que tu dois connaître si le développement est ton métier.

              Il me semble que quand on s'appelle Microsoft et qu'on diffuse un système d'exploitation comme Windows XX ou YY à autant d'utilisateurs, ou pourrait se permettre d'avoir 2 ou 3 gars qui s'occupe de sécurité, non ?

              "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

              • [^] # Re: Le pauvre...

                Posté par  . Évalué à -2.

                Et si - là je suis tout à fait d'accord avec toi - les développeurs sont des gens comme les autres, perfectibles, on multiplie les audits - réels, soit dit en passant -, les relectures et toutes ces procédures que tu dois connaître si le développement est ton métier.

                Ben oui, c'est ce qu'on fait ici justement, le team securite de MS est compose de gens qui sont tres, tres, tres loin d'etre des manchots et je te paries ma voiture qu'un developpeur au hasard chez MS en sait plus sur la securite que le developpeur moyen.

                Il me semble que quand on s'appelle Microsoft et qu'on diffuse un système d'exploitation comme Windows XX ou YY à autant d'utilisateurs, ou pourrait se permettre d'avoir 2 ou 3 gars qui s'occupe de sécurité, non ?

                Tout a fait.

                Maintenant il faudrait que tu penses a regarder le produit don tu parles, on parle de millions de lignes de code, de dizaines de technologies differentes, ...

                Tu crois que des gens qui auditent et attaquent ce code vont trouver tous les problemes ? Tu reves.

                Faut arreter de comparer un simple site web avec un OS entier, c'est comme comparer une puce avec un elephant.
                • [^] # Re: Le pauvre...

                  Posté par  . Évalué à 2.

                  genre on accepte des données d'un utilisateur (donc non sur) et on regarde pas si elles sont conformes ?
                  C'est ca les connaissances en sécu des développeurs ?
                  Je sais pas , les premiers cours de programmation c'est "si un utilisateur rentre qqch , alors il faut le vérifier". Ensuite quand c'est dans le programme, comme on controle plus facilement les entrées/sorties c'est moins urgent.
                  Enfin moi c'est ce qu'on m'as appris. L'expérience et la connaissance des dvp ms doit leur permettre de savoir ce qu'il faut faire (ca j'en doute pas) , mais ils est sage parfois de se remettre en question et de savoir si ce que l'on à fait est vraiment bien, et pas juste quelquechose que l'on estime bien.

                  Ensuite traiter le dvp moyen comme connaissant moins en sécu que les dvp ms , ca va les chevilles ?
                  Et pourquoi pas les "dvp moyens" sont tout juste bon a nettoyer le parquet de ms pendant qu'on y est ?
                  • [^] # Re: Le pauvre...

                    Posté par  (site web personnel) . Évalué à 2.

                    Merci. Je suis pas le seul à trouver ça bizarre.
                    Ceci dit, la bonne foi de pBpG... *soupir*

                    "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

                  • [^] # Re: Le pauvre...

                    Posté par  . Évalué à -1.

                    genre on accepte des données d'un utilisateur (donc non sur) et on regarde pas si elles sont conformes ?
                    C'est ca les connaissances en sécu des développeurs ?
                    Je sais pas , les premiers cours de programmation c'est "si un utilisateur rentre qqch , alors il faut le vérifier". Ensuite quand c'est dans le programme, comme on controle plus facilement les entrées/sorties c'est moins urgent.


                    Sans blague ?

                    T'as toujours pas compris que les gens font des erreurs ? Et que dans des millions et des millions de lignes de code t'as forcement plus q'une ou deux erreurs de ce type ?

                    Enfin moi c'est ce qu'on m'as appris. L'expérience et la connaissance des dvp ms doit leur permettre de savoir ce qu'il faut faire (ca j'en doute pas) , mais ils est sage parfois de se remettre en question et de savoir si ce que l'on à fait est vraiment bien, et pas juste quelquechose que l'on estime bien.

                    C'est fait aussi, mais t'imagines bien qu'il y a toujours qqe chose qqe part qui passe au travers du filet. On serait super content si on avait la baguette magique pour ecrire du code parfait, mais malheureusement on ne l'a pas.

                    Ensuite traiter le dvp moyen comme connaissant moins en sécu que les dvp ms , ca va les chevilles ?
                    Et pourquoi pas les "dvp moyens" sont tout juste bon a nettoyer le parquet de ms pendant qu'on y est ?


                    Il y a pas de chevilles gonflees la-dedans, simplement une constatation du fait que le developpeur moyen n'a pas grand-chose comme formation niveau securite, alors que le developpeur ms a un minimum, a travers des cours qui sont maintenant obligatoire pour tout dev de la compagnie.
                    Ca veut pas dire que tous les devs MS sont des champions niveau securite, mais ils connaissent quasiment tous les bases.
                    • [^] # Re: Le pauvre...

                      Posté par  . Évalué à 3.

                      T'as toujours pas compris que les gens font des erreurs ?
                      1°) si je l'ai compris
                      2°) je parlais donc des points où la sécurité est accentué , donc où normalement une erreur de ce type aurait beaucoup de mal à passer
                      3°) tu pense que airbus dirais la meme chose si il y a un bug dans les commandes de vol?
                      oui il y a 200 morts mais les gens font des erreurs vous savez....
                      Quand on sait que windows équipe certaines centrales nucléaire (je crois pas le systeme de sécurité toutefois)...
                      D'autant plus que les pertes financières dut aux failles de windows et des worms en profitant sont LOIN d'être négligeables.

                      bien qu'il y a toujours qqe chose qqe part qui passe au travers du filet.
                      Je crois que dans le cas de windows , le mot clé c'est 'toujours'. Effectivement il y a toujours (enfin dison relativement souvent) des failes critiques trouvées, donc on peut raisonnablement penser qu'il y a toujours qqch qui passe au travers du filet....
                      Tu remarquera que je ne dis pas que tutux c'est forcément mieux ;)


                      Il y a pas de chevilles gonflees la-dedans, simplement une constatation du fait que le developpeur moyen n'a pas grand-chose comme formation niveau securite, alors que le developpeur ms a un minimum, a travers des cours qui sont maintenant obligatoire pour tout dev de la compagnie.
                      Et que sais tu des dev des autres compagnies ? Tu y es aussi? pourquoi est ce que pour MS ils auraient des cours et pas pour ... alcatel par exemple ? Qu'est ce qui te permet d'affirmer ca ? (ben oui tu demande toujours des preuves, a moi de te rendre la pareille)

                      mais ils connaissent quasiment tous les bases.
                      Connaitre la base n'est pas toujours suffisant. Et comme dis le proverbe "un demi savoir est parfois plus dangereux qu'aucun savoir"
                      • [^] # Re: Le pauvre...

                        Posté par  . Évalué à 7.

                        3°) tu pense que airbus dirais la meme chose si il y a un bug dans les commandes de vol?
                        oui il y a 200 morts mais les gens font des erreurs vous savez....


                        Oui mais il y a une différence fondamentale entre Airbus et Microsoft (mais ça s'applique à n'importe quel éditeur) qui s'appelle la responsabilité. Chaque action, de la conception jusqu'à la fin de la vie d'un avion est tracée (qui, quand, quoi, comment, pourquoi, etc.) et engage la responsabilité de son auteur, aussi bien civilement que pénalement. Et ce n'est pas le cas des éditeurs de logiciels courants. Forcément, quand on a une autorité de régulation sur le dos qui vient vérifier la qualité de tout ce que vous faites, sous peine de ne pas autoriser la mise sur le marché de l'avion, qu'on peut venir vous chercher parce qu'un ch'tit buffer overflow de rien du tout au milieu de votre million de lignes de code a contribué au crash d'un avion et fait 250 morts, et bien on met ce qu'il faut de procédure de contrôle qualité dessus pour que ça n'arrive pas. Et ça n'arrive pas.

                        Chez les gros éditeurs, on n'a rien de cela. Alors pourquoi investir dans la mise en place de tels process, qui sont très lourds et donc coûteux, alors que personne ne vous y oblige d'une part, et que le marché ne semble pas franchement prêt à en supporter le coût d'autre part ?

                        J'assistait récemment à une conférence d'un gars de chez Oracle (et je vais remettre ça avec une liste de question à jour dans pas longtemps ;)), nous expliquant façon Caliméro que la qualité logicielle c'est difficile, bla bla bla. Finalement, à la fin de la séance de questions, deux éléments qui contribuent amha fortement à la mauvaise qualité du code qu'on utilise tous les jours ressortent :

                        1. l'absence d'obligations règlementaires quant à la qualité du code produit
                        2. les décideurs ne sont pas prêts à supporter le coût induit par un véritable process de gestion qualité

                        Or, dans le cas d'Airbus, on a les deux. Dans le cas des grands éditeurs, aucun. Forcément, ça n'aide pas, et dans une certaine mesure, avec pas forcément énormément de cynisme (réalisme ?), c'est compréhensible. Ceci étant, on notera qu'il n'y a pas non plus le moindre début d'un engagement de la part de l'éditeur (cf. CLUF, licences d'utilisation, etc.), à part de belles promesses, des études vaseuses et des arguments éculés et largement contredits par les faits.

                        Il faut regarder les choses en face. Même un vendeur de pelles à tarte (honorable profession contre laquelle je n'ai rien) a plus d'obligations règlementaires d'un éditeur de logiciels. Et tant que ce genre de chose ne changera pas, je ne pense pas que la situation s'améliore énormément....

                        Mes 0,02¤ du matin trop tôt.
                        • [^] # Re: Le pauvre...

                          Posté par  . Évalué à 1.

                          Il y a aussi un autre element, qui est la complexite du systeme.

                          Les OS qu'ils utilisent chez Airbus(pour prendre du soft, qui soit comparable) sont tres loin d'avoir la taille d'un OS comme Windows ou Linux+GUI+... , avoir un process qualite est donc possible la dessus. Faire le meme process sur un Windows ou un equivalent Linux demanderait des ressources gigantesques.

                          Le choix reviendrait alors a vendre l'OS pour des milliers d'euros ou enlever un tas de features, chose que les gens ne veulent pas forcement, resultat les editeurs vendent leurs softs en disant "nous tapez pas dessus si ca marche pas tout le temps"
                          • [^] # Re: Le pauvre...

                            Posté par  . Évalué à 1.

                            avoir un process qualite est donc possible la dessus.
                            Et avoir un process de qualité sur la conception d'un format c'est pas possible ?
                            visiblement chez ms non... Quel est l'interet d'avoir du code executable sur un format qui est plus mauvais que ses concurrents? A moins que ce soient les concurrents qui sont trop bon , mais ms lui il a fait de son mieux ...

                            Faire le meme process sur un Windows ou un equivalent Linux demanderait des ressources gigantesques.
                            Ben sur un hurd/l4 il devrais etre possible de faire une preuve formelle du micro noyaux déja pour commencer.
                            Et dire que hurd/l4 marche pas encore n'est pas une raison , c'est une voix possible pour montrer ce qui peut etre fait.
                            Et puis tellement gigantesque que c'est bien mdk qui a accepter un contrat de la défense francaise pour faire un os AEL-5 non? pour 7 millions d'euros. Tu peux me rappeller le CA de ms déja ?

                            Le choix reviendrait alors a vendre l'OS pour des milliers d'euros
                            Ou a forcer l'achat de l'os par des millions d'utilisateurs qui ont pas forcement besoin de cet os précis.
                            toute ressemblance avec un évènement réeel serait purement fortuit.

                            resultat les editeurs vendent leurs softs en disant "nous tapez pas dessus si ca marche pas tout le temps"
                            C'est meme pas ca c'est 'meme si notre os a directement provoqué une explosion, on y est pour rien'
                            Et puis bizarrement les éditeurs ils peuvent se permettrent pleins de trucs : comme faire juger quelqu'un qui a osé montrer que le logiciel qu'il vendait ne répondait pas a toutes les promesses marketing, mais eux sont intouchables ...
                            • [^] # Re: Le pauvre...

                              Posté par  . Évalué à -2.

                              Quel est l'interet d'avoir du code executable sur un format qui est plus mauvais que ses concurrents? A moins que ce soient les concurrents qui sont trop bon , mais ms lui il a fait de son mieux ...

                              De quel format parles tu ? JPEG ? GIF ? Tu connais les avantages de WMF par rapport aux autres ? Tu sais pourquoi ce format a ete concu de cetet maniere ? Non, donc evites de dire des aneries. Et si tu as envie de savoir pourquoi, va lire le format WMF et son rapport avec GDI, tu comprendras.

                              Ben sur un hurd/l4 il devrais etre possible de faire une preuve formelle du micro noyaux déja pour commencer.
                              Et dire que hurd/l4 marche pas encore n'est pas une raison , c'est une voix possible pour montrer ce qui peut etre fait.


                              Un micro-noyau c'est justement minuscule, merci de confirmer ce que je dis.

                              Et puis tellement gigantesque que c'est bien mdk qui a accepter un contrat de la défense francaise pour faire un os AEL-5 non? pour 7 millions d'euros. Tu peux me rappeller le CA de ms déja ?

                              Genial, quel rapport ? AEL-5 ca prouve rien du tout

                              Ou a forcer l'achat de l'os par des millions d'utilisateurs qui ont pas forcement besoin de cet os précis.
                              toute ressemblance avec un évènement réeel serait purement fortuit.


                              Et hop, une connerie qui n'a rien a voir et qui n'est absolument pas prouvee.
                              • [^] # Re: Le pauvre...

                                Posté par  . Évalué à 2.

                                Non, donc evites de dire des aneries. Et si tu as envie de savoir pourquoi, va lire le format WMF et son rapport avec GDI, tu comprendras.
                                Tu fais les questions et les réponses ?

                                Est ce que ton format est:
                                -facilement modifiable par un programme x/y/z
                                -a plusieurs flux différents
                                -libre
                                -streamable .
                                Non (pour au moins un point) , alors arrete de dire des anneries toi aussi ;)


                                Genial, quel rapport ? AEL-5 ca prouve rien du tout
                                Non tu as raison c'est juste une certification sur la sécurité mais ca prouve rien du tout.
                                Et bizarrement les windowsiens sont venus nous dire à ce moment "ouais w2k était déja certifié AEL-X (mais bon ils ont oublié de dire sans le reseau) ca prouve qu'il est sécurisé"
                                Ahlalala mauvaise foi quand tu nous tient ...


                                Et hop, une connerie qui n'a rien a voir et qui n'est absolument pas prouvee.
                                Tu as une preuve que c'est une connerie ? que c'est pas vrai?
                                Ah oui tant que j'y pense et ma preuve que dans les entreprises autre que ms ils ont pas des cours de sécu , elle est où ?



                                Un micro-noyau c'est justement minuscule, merci de confirmer ce que je dis.
                                Euh tu sais pas bien lire alors .... j'ai dis HURD/l4 donc un système basé sur des micro noyaux pe, mais un systeme quand meme.
                                Que la brique de base ne soit pas des binaires de 50 Mo ne remet rien en question.
                                Est ce que ms peut prouver formellement les fondements de sont système ?
                                Sans doute pas, et ce dut entre autre à de la conception où ils n'avaient pas prévu cette contrainte.
                                C'est la seule différence. Donc je ne confirme pas tes dires, je les infirmes.



                                Pour terminer : C'est beau la mauvaise foi hein ;)
                                • [^] # Re: Le pauvre...

                                  Posté par  . Évalué à 0.

                                  Tu fais les questions et les réponses ?

                                  Non je te dis de t'informer avant de sortir des conneries, comme d'hab.

                                  Est ce que ton format est:
                                  -facilement modifiable par un programme x/y/z
                                  -a plusieurs flux différents
                                  -libre
                                  -streamable .
                                  Non (pour au moins un point) , alors arrete de dire des anneries toi aussi ;)


                                  Qui t'as dit que c'etait le but de ce format ? Le format repond au but qui etait fixe, but que tu decouvriras quand t'auras lu le format.

                                  Non tu as raison c'est juste une certification sur la sécurité mais ca prouve rien du tout.
                                  Et bizarrement les windowsiens sont venus nous dire à ce moment "ouais w2k était déja certifié AEL-X (mais bon ils ont oublié de dire sans le reseau) ca prouve qu'il est sécurisé"
                                  Ahlalala mauvaise foi quand tu nous tient ...


                                  Toujours tes problemes de lecture, dingue ces problemes de francais quand meme...

                                  Dis moi donc, ou est-ce que AEL-5 prouve que le code ne contient pas de faille ? Nulle part ? Bien, donc dans le contexte de la discussion(code propre) etre AEL-5 ne prouve rien du tout.

                                  Tu as une preuve que c'est une connerie ? que c'est pas vrai?
                                  Ah oui tant que j'y pense et ma preuve que dans les entreprises autre que ms ils ont pas des cours de sécu , elle est où ?


                                  Tu regardes autour de toi, tu demandes aux autres et tu l'auras ta preuve.

                                  Euh tu sais pas bien lire alors .... j'ai dis HURD/l4 donc un système basé sur des micro noyaux pe, mais un systeme quand meme.
                                  Que la brique de base ne soit pas des binaires de 50 Mo ne remet rien en question.


                                  Tu te relis des fois ? Tu parlais de preuve formelle du micro-noyau :

                                  Ben sur un hurd/l4 il devrais etre possible de faire une preuve formelle du micro noyaux déja pour commencer.

                                  Pour terminer : C'est beau la mauvaise foi hein ;)

                                  Bof, non je trouves pas tes posts particulierement beaux, mais les gouts et les couleurs hein...
                                  • [^] # Re: Le pauvre...

                                    Posté par  . Évalué à 2.

                                    Qui t'as dit que c'etait le but de ce format ? Le format repond au but qui etait fixe, but que tu decouvriras quand t'auras lu le format.
                                    Je me suis trompé a la fin entre wmv et wmf . Mea maxima culpa.


                                    Dis moi donc, ou est-ce que AEL-5 prouve que le code ne contient pas de faille ? Nulle part ?
                                    Avec ceci :
                                    "EAL5 : conçu de façon semi-formelle et testé."
                                    ce qui est certifie bien plus que "on l'a fait mais c'est tout".
                                    ensuite si tu veux partir sur du EAL7 c'est ton problème.
                                    Mais c'est pour te montrer que des certifications sur la sécu on peux en passer meme en faisant un os grand public .
                                    Toujours tes problemes de lecture, dingue ces problemes de francais quand meme...
                                    Je te le fais pas dire, surtout chez les personnes qui ne vivent pas en france, ils ont l'impression que certains mots change de sens en passant la frontière.

                                    Bien, donc dans le contexte de la discussion(code propre) etre AEL-5 ne prouve rien du tout.
                                    Non rien du tout juste 'concu de manière semi-formelle et testé" ce qui est une garantie pas si mauvaise, et infiniment fois mieux que celle "aucune garantie n'est fournis, malgré le fait qu'on vous fasse payer x ¤"


                                    Bof, non je trouves pas tes posts particulierement beaux, mais les gouts et les couleurs hein...
                                    oh une attaque ad hominem ca alors, tu as plus aucun argument ?



                                    Tu te relis des fois ? Tu parlais de preuve formelle du micro-noyau :
                                    tout a fait, donc si j'ai bien compris toit tu vérifie d'abord les applications de l'os mais pas la base du système ? je croyais que vous aviez des cours de sécu à ms ?



                                    Tu regardes autour de toi, tu demandes aux autres et tu l'auras ta preuve.
                                    euh... je regarde autour de moi, je demande , et la preuve que j'ai c'est exactement l'inverse de ce que tu dis , donc fournis moi mes DEUX preuves, merci .
                                    C'est dingue comment tu demande facilement des preuves mais comment tu as du mal a en fournir .
                                • [^] # Re: Le pauvre...

                                  Posté par  . Évalué à 2.


                                  Est ce que ton format est:
                                  -facilement modifiable par un programme x/y/z
                                  -a plusieurs flux différents
                                  -libre
                                  -streamable .
                                  Non (pour au moins un point) , alors arrete de dire des anneries toi aussi ;)


                                  Es-tu sûr d'avoir bien compris de quel format de fichier toi et PBPG parlez ? (vraie question)
                                  • [^] # Re: Le pauvre...

                                    Posté par  . Évalué à 2.

                                    oups je me suis emporté ;) sumimasen ;)(j'ai confondu à la fin wmf et wmv mea maxima culpa)
                          • [^] # Re: Le pauvre...

                            Posté par  . Évalué à 2.

                            Évidemment, si tu arrives 15 ans après la guerre pour monter ton process qualité, alors que tu as 100 millions de lignes dans la tronche, ça pose clairement un problème. Mais cette situation actuelle découle directement du "j'en ai rien à foutre" initial. Tu me diras, c'est toujours facile de critiquer à posteriori, et c'est vrai, et encore une fois, ce n'est pas propre à Microsoft et le marché a également une grosse part de responsabilité là-dedans.

                            Pour la taille des logiciels qui sont utilisés dans un Airbus, elle est suffisament raisonnable pour demander énormément de boulot. Ne serait-ce que parce qu'ils ont des features qu'un OS grand public n'a pas, comme la gestion de la sûreté de fonctionnement dans son ensemble par exemple. En gros, ce n'est pas parce qu'à chaque fois que tu tires sur le joystick, tu n'as pas un trombone qui apparait sur un super afficheur tête-haute LCD stéréoscopique pour te demander si tu 1) es bien sûr de vouloir monter 2) ne voudrais pas descendre par hasard 3) ne serais pas tenter de consulter l'aide en ligne, que ça ne fait pas tourner quelques millions de lignes de code derrière...
                      • [^] # Re: Le pauvre...

                        Posté par  . Évalué à 0.

                        tu pense que airbus dirais la meme chose si il y a un bug dans les commandes de vol?
                        oui il y a 200 morts mais les gens font des erreurs vous savez....


                        Justement c'est la grande difference, MS ne vend pas Windows comme etant un outil dont peut dependre directement la vie des gens. Les contraintes ne sont donc pas les memes.
                        Il y a une raison pour laquelle les softs dans les Airbus ne contiennent pas une GUI dernier cri, un support pour a peu pres tous les HW possibles, ... la raison c'est qu'il faut garder un systeme simple pour pouvoir tout controler a 200%. Un OS "grand public" n'a pas les memes contraintes, c'est aussi pour ca qu'il n'a pas le meme prix qu'un OS pour Airbus.


                        Quand on sait que windows équipe certaines centrales nucléaire (je crois pas le systeme de sécurité toutefois)...

                        Si tu te mets a utiliser un outil dans un environnement pour lequel il n'est pas concu le fautif c'est toi, pas le concepteur de l'outil.

                        D'autant plus que les pertes financières dut aux failles de windows et des worms en profitant sont LOIN d'être négligeables.

                        Les pertes sont dues aux idiots qui ne patchent pas leurs machines, quasiment tous, voire tous les worms qui ont cause des gros problemes avaient un patch pre-existant.

                        Mais dis moi, le jour ou Linux sera sur une grosse part des machines, ce sera qui le grand responsable si un worm se propage ?

                        Et que sais tu des dev des autres compagnies ? Tu y es aussi? pourquoi est ce que pour MS ils auraient des cours et pas pour ... alcatel par exemple ? Qu'est ce qui te permet d'affirmer ca ? (ben oui tu demande toujours des preuves, a moi de te rendre la pareille)

                        Je suis quasiment sur qu'Alcatel a des cours securite, enfin j'espere. Le truc etant que le grand majorite des developpeurs bossent dans des boites de taille reduite qui pour la plupart n'ont ni le budget ni les competences pour proposer ce genre de cours.

                        Connaitre la base n'est pas toujours suffisant. Et comme dis le proverbe "un demi savoir est parfois plus dangereux qu'aucun savoir"

                        Dans ce cas la le proverbe ne s'applique pas, vaut mieux savoir quels sont les dangers sans en connaitre tous les details que ne rien savoir du tout.
                        • [^] # Re: Le pauvre...

                          Posté par  . Évalué à 2.

                          Il y a une raison pour laquelle les softs dans les Airbus ne contiennent pas une GUI dernier cri, un support pour a peu pres tous les HW possibles, ...
                          Enfin je te rassure tout de suite : windows non plus !
                          la gui date de mathsalem et c'est pas en ajoutant des effet d'arrondis que ca va changer quoi que ce soit .
                          Et le support HW de ms est passablement mauvais; heureusment que les constructeurs font des drivers pour windows !

                          Si tu te mets a utiliser un outil dans un environnement pour lequel il n'est pas concu le fautif c'est toi, pas le concepteur de l'outil.
                          Tu as raison , la prochaine fois je n'utilise plus de wmp pour lire un wmv je lis le flux binaire directement pour être sur ...
                          La ou il était utilisé dans les centrales nucléaires il l'était pour des taches bureatique standart si ma mémoire est bonne. Mais l'administration est quand meme quelquechose d'important , et lors de sasser il ont vu que ca pouvait faire apparaitre certains problèmes !



                          Les pertes sont dues aux idiots qui ne patchent pas leurs machines, quasiment tous, voire tous les worms qui ont cause des gros problemes avaient un patch pre-existant.
                          Dis moi tu fais coment pour patcher un 0-day ?
                          tu fais comment pour patcher une machine alors que microsoft reserve 30 jours au dod avant de donner les patch publiquement ?
                          un patch pre-existant ? laisse moi rire !
                          Et puis désolé ms dis que son os est sécurisé , qu'il peut s'administrer d'un clic , et reproche justement ca à linux. Et la tu viens comme une fleur nous dire "a oui mais non faut appliquer une vrai politique de sécurité ."


                          Mais dis moi, le jour ou Linux sera sur une grosse part des machines, ce sera qui le grand responsable si un worm se propage ?
                          Tout dépend d'ou vient la faille
                          si elle vient de kde les responsables seront les dvp de kde ; si elle vient du noyau , sans doute des dvp du noyau , tu pense pas ?



                          Dans ce cas la le proverbe ne s'applique pas, vaut mieux savoir quels sont les dangers sans en connaitre tous les details que ne rien savoir du tout.
                          Quitte a faire des techniques que tu ne maitrise pas et qui ouvrent pe des failles bcp plus réels que celles dont tu essaie de te protéger ? (c'est ce que veux dire ce proverbe mais bon).
                          • [^] # Re: Le pauvre...

                            Posté par  . Évalué à 0.

                            la gui date de mathsalem et c'est pas en ajoutant des effet d'arrondis que ca va changer quoi que ce soit .
                            Et le support HW de ms est passablement mauvais; heureusment que les constructeurs font des drivers pour windows !


                            Et les conneries continuent... T'es lassant. Le jour ou Linux aura un driver framework du niveau de Windows on en reparlera, d'ici la de l'eau aura coule sous les ponts, pour l'UI j'en rigole encore. Mais ne quittons pas le sujet initial...

                            La ou il était utilisé dans les centrales nucléaires il l'était pour des taches bureatique standart si ma mémoire est bonne. Mais l'administration est quand meme quelquechose d'important , et lors de sasser il ont vu que ca pouvait faire apparaitre certains problèmes !

                            Il y avait un patch dispo pour Sasser avant qu'il sorte, si ils ne l'ont pas installe c'est de leur faute. Bref, des conneries comme toujours.


                            Dis moi tu fais coment pour patcher un 0-day ?
                            tu fais comment pour patcher une machine alors que microsoft reserve 30 jours au dod avant de donner les patch publiquement ?
                            un patch pre-existant ? laisse moi rire !


                            Plutot que sortir connerie sur connerie trouves moi donc combien de ces worms n'avaient pas un patch pre-existant qu'on rigole.

                            Et puis désolé ms dis que son os est sécurisé , qu'il peut s'administrer d'un clic , et reproche justement ca à linux. Et la tu viens comme une fleur nous dire "a oui mais non faut appliquer une vrai politique de sécurité ."

                            Gni ? Les patchs s'installent automatiquement si tu veux bien le laisser faire, 0 administration.
                            • [^] # Re: Le pauvre...

                              Posté par  . Évalué à 2.

                              Et les conneries continuent...
                              T'as une preuve pour pouvoir affirmer que je dis des conneries (ah ben oui tu adorais utiliser ce filon , aucune raison que je m'en serve pas a nouveau)

                              T'es lassant.
                              Je pense exactement la même chose
                              Le jour ou Linux aura un driver framework du niveau de Windows on en reparlera, d'ici la de l'eau aura coule sous les ponts, pour l'UI j'en rigole encore.
                              Comme tu disait précédement , les gouts et les couleurs. Donc ms c'est beau et linux c'est mal pour toi. Ca alors je l'aurais pas parié. Et si tu argumentais un peu tes réponses?

                              Il y avait un patch dispo pour Sasser avant qu'il sorte, si ils ne l'ont pas installe c'est de leur faute. Bref, des conneries comme toujours.
                              Une preuve qu'il existait avant qu'il sorte?
                              Moi j'ai plutot le souvenir que le premier patch ne marchais meme pas et est sortie 1 semaine à 15 jour apres que sasser soit bien développé.


                              Plutot que sortir connerie sur connerie trouves moi donc combien de ces worms n'avaient pas un patch pre-existant qu'on rigole.
                              Ah non désolé , c'est ton affirmation , ca a TOI de la prouver.
                              (ah tiens ca alors tu avais sortis exactement la meme argumentation . Ca fait quoi d'avoir sa methode d'attaque réutilisé contre soi ? , sauf que nous on était pas agressif et on te traitait pas de "con" )


                              Gni ? Les patchs s'installent automatiquement si tu veux bien le laisser faire, 0 administration.
                              0 administrations ?
                              Donc tu es à nouveau en train de me dire qu'il n'y a besoin d'AUCUNE administration.donc pas besoin de vérifier que le systeme supporte bien les patchs
                              dis moi tu te souvien de sp2 ? visiblement non.
                              mais 0 administrations hein ...
                              • [^] # Re: Le pauvre...

                                Posté par  (site web personnel) . Évalué à 5.

                                T'as une preuve pour pouvoir affirmer que je dis des conneries (ah ben oui tu adorais utiliser ce filon , aucune raison que je m'en serve pas a nouveau)

                                Là, pBpG a raison : tu dois connaître ça quand même http://appft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Se(...)

                                C'est un brevet et le titre est "Virtual Desktop Manager" ! Si c'est pas de l'innovation ça !

                                Là je crois que je vais arrêter, mes zygomatiques vont jamais s'en remettre.

                                "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

                    • [^] # Re: Le pauvre...

                      Posté par  (site web personnel) . Évalué à 4.

                      Ça fait 3 posts que tes seuls réponses sont : l'erreur est humaine là où on te répond que ça peut être circonstancié, qu'il y a des règles basiques (ah oui, mais les dev MS les connaissent, eux les règles, c'est vrai), etc... T'as pas d'autres arguments ?

                      Et puis, on t'a jamais dit que tu faisais chier à pourrir des forums de linuxfr.org avec ton parti-pris et ta mauvaise foi. Je suis d'accord que ça peut-être intéressant d'avoir un avis alternatif sur un site comme linuxfr mais essaye d'être constructif au moins. Dans tes derniers journaux privés, tu postais des blagues assez marrantes. Peut-être devrais-tu te contenter de ça.

                      En plus, je vois pas pourquoi tu t'échines à défendre Microsoft de cette manière : tu crois qu'ils vont te donner une médaille, ou bien ? Ou alors t'es vraiment payé pour convertir les adeptes du côté obscur mais dans ce cas là, ils ont raté leur coup : t'es tellement caricatural ! C'est fini l'époque des trolls MS ça pue, linux ça rOx. Je crois que sur linuxfr, les débats sont un peu plus élevés depuis bien longtemps. Tu pourrais évoluer aussi.

                      "Liberté, Sécurité et Responsabilité sont les trois pointes d'un impossible triangle" Isabelle Autissier

                      • [^] # Re: Le pauvre...

                        Posté par  . Évalué à 0.

                        C'est fini l'époque des trolls MS ça pue, linux ça rOx. Je crois que sur linuxfr, les débats sont un peu plus élevés depuis bien longtemps.

                        bwahahahahahaha!!

                        Ptin, non, faut pas me faire marrer comme ca le matin, j'ai encore renverse un cafe sur mon clavier, faites chier...
                      • [^] # Re: Le pauvre...

                        Posté par  . Évalué à 0.

                        Ça fait 3 posts que tes seuls réponses sont : l'erreur est humaine là où on te répond que ça peut être circonstancié, qu'il y a des règles basiques (ah oui, mais les dev MS les connaissent, eux les règles, c'est vrai), etc... T'as pas d'autres arguments ?

                        Si il y a des regles basiques qui peuvent empecher de genre de probleme dis moi donc :

                        a) quelles sont ces regles
                        b) pourquoi personne, ni chez MS, ni chez Linux, ni chez Sun, ... ne les respecte (ben oui, les failles elles sont chez tout le monde mon cher)

                        Une fois que t'auras compris que ces regles ne sont pas respectees car il est quasiment impossible de s'assurer que tout est correct, tu auras compris qqe chose.


                        Et puis, on t'a jamais dit que tu faisais chier à pourrir des forums de linuxfr.org avec ton parti-pris et ta mauvaise foi. Je suis d'accord que ça peut-être intéressant d'avoir un avis alternatif sur un site comme linuxfr mais essaye d'être constructif au moins

                        Si on me l'a deja dit plusieurs fois, le truc etant que ceux qui disaient cela etaient une minorite de linuxfr, je les ai donc ignore.

                        En plus, je vois pas pourquoi tu t'échines à défendre Microsoft de cette manière : tu crois qu'ils vont te donner une médaille, ou bien ? Ou alors t'es vraiment payé pour convertir les adeptes du côté obscur mais dans ce cas là, ils ont raté leur coup : t'es tellement caricatural

                        En plus, je vois pas pourquoi tu t'echines a attaquer Microsoft de cette maniere : tu crois qu'ils vont te donner une medaille, ou bien ? Ou alors t'es vraiment paye pour convertir les adeptes au libre mais de cas la, ils ont rate leur coup : t'es tellement caricatural.
                        • [^] # Re: Le pauvre...

                          Posté par  . Évalué à 2.

                          Ohoh une attaque à la "c'est toi qui la dis , miroir" ...
                          Pfu j'ai arrété ca quand moi ? maternelle je crois
                          • [^] # Re: Le pauvre...

                            Posté par  . Évalué à 1.

                            Non, toi t'en est rendu au "Mais, euh, t'as pas le droit de m'attaquer personellement" ;)
                            • [^] # Re: Le pauvre...

                              Posté par  . Évalué à 2.

                              pas le droit ?
                              qui a parlé d'une notion de droit ?
                              Pas moi en tout cas.
                              Relis bien mon message a tête reposé tu comprendras peut etre ce que je veux dire, et que ca n'a rien a voir avec un droit/devoir physique ou morale.
  • # Paranoia ?

    Posté par  . Évalué à -10.

    Mouais, dans les millions de lignes de windows, un type, un stagiaire sans doute, un débutant, voir un français même ;o) à fait une erreur, et tout de suite on cris au complot parce que c'est MICROSOFT.


    C'est le genre de type qui part en croisade contre Microsoft pour se sentir aussi important qu'elle; Ou alors c'est un obsédé de l'informatique ?

    J'aurais envie de leurs dire, à ces drogués qui vivent devant leur écran comme des poissons rouges "Et les gars, il n'y a pas que l'informatique dans la vie ! Si avant de mourrir on vous demande ce que vous avez fait dans la votre, et que vous n'avez pour toute réponse que "J'ai optimiser pendant tout ce temps mon Linux : j'ai gagné 2 milliardième de second au thread controleur clavier", ca sera pas la joie tout de même ! Alors détendez-vous ! Microsoft, tout le monde s'en fou, ca fait des années qu'on nous explique qu'il vont controler le monde, l'information, la culture, la planéte, et toujours rien. Microsoft est une entreprise comme les autres, elle cherche de la croissance, pas à jouer les Docteurs No. Restez donc une ou deux année loin de l'informatique, vous irez beaucoups mieux, vous verrez."

    Cela dit, si minidou pouvait faire des systéme plus "securs", ca serait pas un mal...
    • [^] # Re: Paranoia ?

      Posté par  (site web personnel) . Évalué à 6.

      Dans ton monde à toi, les gens doivent se comporter comme tu le souhaiterais, hein ? Allez, les "obsédés de l'informatique", qui font pourtant certainement moins de mal aux autres que le lambda moyen mais passons, rentrez dans le droit chemin, Monsieur a dit que votre comportement était déviant.
  • # Mais l'ont ils exploitée...

    Posté par  . Évalué à 10.

    Bon, je n'ai pas suivi a 100% l'histoire de "combinaison special", c'est
    quoi, du port knoking...?

    Franchement, si ça avait été exploité par microsoft, combien de gens l'auraient remarqué...?

    Moi, a mon boulot, je boss sous win2k, et j'analyse asser souvent le traffic de mes interfaces,
    et avec un autre pc, comme ça, (la paranoïa va jusqu'au bout)
    même si windows me "cache" les mechants paquets, je les vois
    quand même...

    Je fais pas ça parce que je suis un gros psycopathe qui à peur
    que les mechants sachent que je vais sur linufr.org et petit-garcon.com,
    non je m'en fiche. Je boss dans le reseau, je devellope un peu, je m'
    interesse à la securité... etc, etc, j'ai un NetBSD en port-monitoring
    sur une vielle sparc qui me log tout...

    Et j'ai rien vu

    Bref, tout cette étallage pour dire, que bon, il y a plus furieux et meticuleux
    que moi dans le monde en matiere de securité, donc, ça se serais vu
    si microsoft avait intentionnelement laissé une faille pour voir si
    je paie bien ma license et ne vais pas sur des sites cochon.

    Donc pourquoi auraient ils, chez microsft, laissé une faille sans s'en servir...?
    Pour encore passer pour des gros naze...?
    Pour s'en servir plus tard...?

    Ce ne serais l'oeuvre que d'un employé...?
    J'y crois pas trop, il y a quand même pas mal de process qualité chez
    microsoft j'imagine... 'fin, pas tant que ça quand même apparement...

    Donc, pourquoi attribuer à la malice ce que la stupidité fait...?

    C'est "juste" une faille de plus, comme il y en aura d'autres.
    Et même sur linux dailleurs...

    C'etait mon humble avis...
    • [^] # Re: Mais l'ont ils exploitée...

      Posté par  . Évalué à 8.

      Et la backdoor mise par Ken Thompson dans le compilateur cc d'UNIX, ça ne t'aurait pas paru aussi invraisemblable à l'époque ?

      En matière de sécurité, pas seulement en informatique, il y a beaucoup de chose qui ne servent pas, mais qui sont là, pour le cas ou, on sait jamais. ex: un extincteur. En tout cas, ça doit être très tentant de mettre une porte d'accès sur plus de 90% des ordinateurs, même si ça sert pas, on sait jamais ...
      • [^] # Re: Mais l'ont ils exploitée...

        Posté par  . Évalué à 7.

        A mon avis il y a surement plus discret et plus subtil comme moyen pour mettre une backdoor.
        • [^] # Re: Mais l'ont ils exploitée...

          Posté par  . Évalué à 9.

          Vu le nombre d'année que ça a tenu sans être remarqué, je pense cela assez discret... Et ils l'ont peut-être pensé aussi :)
  • # Steve et Bill à la pointe de la technologie

    Posté par  . Évalué à 1.

    On imaginait ce Steve complètement barbu et geek...
    mais en fait on constate avec amusement que cette page http://www.grc.com/media.htm est une longue publicité (ou alors de l'ironie au 5ème degré) pour windows media player (WMV) :

    "Windows Media Format
    /.../
    Technical Excellence
    /.../
    Free and Built into Windows
    /.../
    Unfortunately, Real Networks is Evil "


    "Check Your Media Player" ;)

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Suite et fin.

    Posté par  (site web personnel) . Évalué à 10.

    Bon, la thèse du complot n'aura pas duré très longtemps. D'après une remarque très judicieuse de Randal Schwartz (un guru de perl) si Wine a aussi été touché par la faille alors que l'implémentation s'est faite from scratch le complot ne tient plus debout:
    http://www.mail-archive.com/full-disclosure%40lists.grok.org(...)

    Puis vient une réponse circonstanciée de Peter Ferrie (de chez Symantec) qui explique assez bien le déroulement de l'exécution du code, et les erreur graves commises par Steve Gibson:
    http://www.mail-archive.com/full-disclosure%40lists.grok.org(...)

    Voilà, vous lisez trop linuxfr, vous pouvez maintenant reprendre une activité normale. ;)
  • # Coma

    Posté par  . Évalué à 7.

    Désolé mais je viens de sortir d'un coma de 10 ans; vous auriez pu faire une mini rétrospective de qui est Steve Gibson.

    Le plus simple: http://linuxfr.org/2002/04/05/7836.html
    Le plus complexe: http://www.google.fr/search?hl=fr&q=Steve+Gibson&met(...)
  • # Pourquoi toujours taper sur Microsoft ?

    Posté par  . Évalué à 3.

    Il est vrai que taper sur Microsoft et se sentir obliger de dénoncer la théorie du complot, ça fait toujours quelques hits sur son site web. Mais si je vous dit que récemment a été publié un bulletin d'alerte faisant état d'un compte superutilisateur non documenté avec un password par défaut présent sur toute une gamme d'appliance d'un constructeur bien connu, me rétorquera-t-on que c'est peut-être trop gros pour véritablement ressembler à s'y méprendre à une backdoor "oubliée" ? C'est bizarre comme certaines failles monopolise l'actualité, alors que d'autres, passent inaperçues au milieu du tumulte.

    Je vous laisse chercher de quoi il s'agit, c'est facile...
  • # devotion

    Posté par  . Évalué à 2.

    si qqun veut nous faire un petit resumé en francais, je lui en serait grés http://www.theregister.co.uk/2006/01/21/wmf_fud_from_grc/ (l'article a l'air bien)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.