Bien sur, un fonctionnalité qui empeche un bug dans login ne fait pas disparaitre le probléme de login.
Mais, c'est de la défense en profondeur.
Si tu mets un firewall, et qu 'il tombe, et que derriére, tes bécanes sont sécurisées et incrackables ou du moins, difficilement crackables , ben voila, tu es quand meme moins dans la merde.
De la même facon, mettre des fonctionnalités de sécurités dans le noyau, comme cette histoire de pile non executable, c'est pas une excuse pour ne pas programmer proprement, c 'est juste un truc en plus pour le cas ou.
Bien sur c'est pas infaillible, mais c'est toujours mieux que si il n'y avait rien, non ?
On a jamais demandé de faire un choix entre des bons programmes, ou un bon OS, ou un processeur securisé.
Si on veut la sécurité total, il faut les trois.
Des programmes sur, tournant par dessus un OS sur, avec, quand ca existera , un processeur securisé.
Bien sur, dans la réalité,il faut faire des choix.
et c'est la que le facteur humain intervient.
Il faut des personnes compétentes, pluto que des programmes de sécurité qui font le café.
Mais meme avec le plus competent des administrateurs, si il n'a pas de ssh pour eviter de sniffer les mots de passes, ca sert a rien.
Le facteur humain, bien sur, mais avec des moyens corrects.
Meme si les services marketing enjolivent trop les produits, il ne faut pas oublier que c'est pas eux qui ont eu l'idée ( j'espere ). Et donc, qu'au départ, toute fonctionnalité est sensée repondre a un besoin.
Par exemple, par défaut, apache tourne en chroot.
De meme, comme toute les distribs modernes, il lance le moins de services par defaut, et réalise des audits de securité régulierement.
Bien sur, c'est rien de spécial, vu que ce ne sont pas les seuls a le faire.
Concernant la réactivité aux bugs, d'aprés le site web d'OpenBSD, ils font des recherches actives pour trouver les problémes avant qu'ils ne deviennent exploitables.
Et ne cache pas d'infos.
Ca aussi, c'est rien, car tout le monde fait ca maintenant.
Mais ils clament qu'ils font ca depuis toujours.
Concernant des trucs comme palladium, je suis désolé de dire ca, mais du point de vue sécurité, ca ne serait pas mal SI ( et j'insiste sur le si ), et seulement SI on nous laisse le choix.
Mais celui de Disney et des musiques écoutables trois fois, c'est bien plus génant.
Le probléme, c'est qu'effectivment, ca a plus de chance de tuer nos libertés que de nous servir....
Sincérement, si on nous laisse le choix de prendre un processeur avec des fonctionnalités de sécurités, correctement implementés, et documentés, avec en parraléle, un proc normal, ca ne me pose pas de problémes.
Imaginez un proc qui empeche le buffer overflow. Et qui verifie la provenance du code, ou, comme sur NetBsd, le hachage d'un executable.
Ou bien qui blinde le noyau de maniére hard ( comme un des patch du noyau, dont j'ai oublié le nom , lids, je croit ).
Tu prendrais un proc secure pour les ordis de ton boulot de chef de sécurité à la banque et un proc normal pour ta bécane et voila.
sauf que, effectivement, on veut nous forcer a prendre Palladium...
Le niveau de sécurité d'une Débian est peut etre comparable a celui d'OpenBSD, mais je tient a rappeler tout de meme
que le noyau d'OPenBSD propose des fonctionnalités assez interessantes :
il est probable que la plupart des ces fonctionnalités ( notamment la derniére ) existent sous linux.
mais, est ce qu'une distribution les propose par defaut ?
je ne parle pas d'une distrib confidentiel ( engarde linux, etc etc), mais d'une des 5 distribs les plus utilisés.
Pas a ma connaissance.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . En réponse à la dépêche Debian/OpenBSD s'arrête, les autres ports BSD continuent. Évalué à 1.
Mais, c'est de la défense en profondeur.
Si tu mets un firewall, et qu 'il tombe, et que derriére, tes bécanes sont sécurisées et incrackables ou du moins, difficilement crackables , ben voila, tu es quand meme moins dans la merde.
De la même facon, mettre des fonctionnalités de sécurités dans le noyau, comme cette histoire de pile non executable, c'est pas une excuse pour ne pas programmer proprement, c 'est juste un truc en plus pour le cas ou.
Bien sur c'est pas infaillible, mais c'est toujours mieux que si il n'y avait rien, non ?
On a jamais demandé de faire un choix entre des bons programmes, ou un bon OS, ou un processeur securisé.
Si on veut la sécurité total, il faut les trois.
Des programmes sur, tournant par dessus un OS sur, avec, quand ca existera , un processeur securisé.
Bien sur, dans la réalité,il faut faire des choix.
et c'est la que le facteur humain intervient.
Il faut des personnes compétentes, pluto que des programmes de sécurité qui font le café.
Mais meme avec le plus competent des administrateurs, si il n'a pas de ssh pour eviter de sniffer les mots de passes, ca sert a rien.
Le facteur humain, bien sur, mais avec des moyens corrects.
Meme si les services marketing enjolivent trop les produits, il ne faut pas oublier que c'est pas eux qui ont eu l'idée ( j'espere ). Et donc, qu'au départ, toute fonctionnalité est sensée repondre a un besoin.
[^] # Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . En réponse à la dépêche Debian/OpenBSD s'arrête, les autres ports BSD continuent. Évalué à 1.
Par exemple, par défaut, apache tourne en chroot.
De meme, comme toute les distribs modernes, il lance le moins de services par defaut, et réalise des audits de securité régulierement.
Bien sur, c'est rien de spécial, vu que ce ne sont pas les seuls a le faire.
Concernant la réactivité aux bugs, d'aprés le site web d'OpenBSD, ils font des recherches actives pour trouver les problémes avant qu'ils ne deviennent exploitables.
Et ne cache pas d'infos.
Ca aussi, c'est rien, car tout le monde fait ca maintenant.
Mais ils clament qu'ils font ca depuis toujours.
Concernant des trucs comme palladium, je suis désolé de dire ca, mais du point de vue sécurité, ca ne serait pas mal SI ( et j'insiste sur le si ), et seulement SI on nous laisse le choix.
L'exemple de la classification des documents pour l'armée ( http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html(...) ) n'est pas a priori liberticide.
Mais celui de Disney et des musiques écoutables trois fois, c'est bien plus génant.
Le probléme, c'est qu'effectivment, ca a plus de chance de tuer nos libertés que de nous servir....
Sincérement, si on nous laisse le choix de prendre un processeur avec des fonctionnalités de sécurités, correctement implementés, et documentés, avec en parraléle, un proc normal, ca ne me pose pas de problémes.
Imaginez un proc qui empeche le buffer overflow. Et qui verifie la provenance du code, ou, comme sur NetBsd, le hachage d'un executable.
Ou bien qui blinde le noyau de maniére hard ( comme un des patch du noyau, dont j'ai oublié le nom , lids, je croit ).
Tu prendrais un proc secure pour les ordis de ton boulot de chef de sécurité à la banque et un proc normal pour ta bécane et voila.
sauf que, effectivement, on veut nous forcer a prendre Palladium...
# Re: Debian/OpenBSD s'arrête, les autres ports BSD continuent
Posté par Misc (site web personnel) . En réponse à la dépêche Debian/OpenBSD s'arrête, les autres ports BSD continuent. Évalué à 1.
que le noyau d'OPenBSD propose des fonctionnalités assez interessantes :
- privilege elevation ( http://deadly.org/article.php3?sid=20021017153959&mode=flat(...) )
plus besoin de programmes suid. C'est en cours de portage sur linux, mais c'est deja dasn openbsd 3.2, qui va sortir bientot.
- cryptage du swap ( http://www.openbsd.org/papers/swapencrypt.ps(...) )
-pile non executable ( http://www.deadly.org/article.php3?sid=20020724131711(...) )
il est probable que la plupart des ces fonctionnalités ( notamment la derniére ) existent sous linux.
mais, est ce qu'une distribution les propose par defaut ?
je ne parle pas d'une distrib confidentiel ( engarde linux, etc etc), mais d'une des 5 distribs les plus utilisés.
Pas a ma connaissance.
[^] # Re: Les Root Serveurs attaqués.
Posté par Misc (site web personnel) . En réponse à la dépêche Les Root Serveurs attaqués.. Évalué à 1.
http://www.wia.org/pub/rootserv.html(...)
on voit bien ou sont situes les machines.
si mes souvenirs sont bons, c des IBMs.
avant sun faisit la pub sur ca "nous sommes le point de .com", car ct des suns jusqu'a il y a deux ans.