Matthieu Moy a écrit 3255 commentaires

Est-ce que ça gère le "tout en un" comme access ?

(données + méta-données + application dans un fichier)

J'ai pas accès aux liens que tu cite, mais dans ton message, je ne voi pas ou c'est marqué que c'est payant. Ils parlent de licence, mais justement, elle est "unrestricted". C'est le cas aussi pour les softs sous GPL, ça ...

Niveau performances, c'est prévisible :

Pas de communication inter-process, donc, pour une opération simple, c'est hyper rapide.

Par contre, pour la gestion des verous pour gérer les access concurents, je demande à voir (A mon avis, oracle ne risque pas trop de se faire détroner par sqlite sur un serveur 8 processeurs !). Idem pour la gestion du cache.

> [...] je ne sais pas qui est le plus attaque, de windows ou linux.

Compte dans ta boite aux lettres mail le nombre de virus pour outlook/win, et le nombre d'attaques pour un client mail libre (j'ai cité mutt et pine comme ayant eu des vulnérabilités plus haut parce que je n'avais que ça sous la main, mais je suppose qu'il y en a eu d'autres -- et je ne compte même pas les virus "ouvrez l'attachement vous-même, j'ai la flemme d'exploiter une faille de votre mailer"). Chez moi, le rapport est de plusieurs par jour contre zero depuis que j'ai une adresse mail.

Pour le nombre d'attaques directes par le réseau, je n'ai jamais fait l'expérience d'analyser les logs de mon firewall, mais les gens que je connais qui l'ont fait disent tous que la quasi-totalité des attaques ciblent windows.

en soi, l'affirmation me parait difficilement contestable. Les conclusions n'en sont pas moins a lire avec des pincettes.


Ceci dit, je reste persuadé que GNU/Linux et ses amis ont un role important a jouer dans la sécurité informatique (et là, ce sont des arguments ;-) :

* C'est important de donner aux gens qui veulent faire parler d'eux une occasion de le faire de façon positive (Mais ça, même MS le comprends, en fournissant depuis peu les sources de Windows a certains particuliers bien sélèctionnés).

* C'est important qu'il y ai un minimum de diversité dans l'informatique, car si tout le monde a la même machine avec le même système, pirater une machine revient à pirater l'ensemble des machines connectées à Internet. Si on arrivait déjà à environ 30%Win/30%Linux/30%MacOS/..., ca serait quand même une bonne chose.

* Le fait que le source soit dispo largement permet de corriger pas mal de bugs/failles. Attention au revert de la médaille : Ca permet aussi aux crackers de les trouver et de les exploiter plus facilement.

* Le fait que les logiciels soient libres permet de faire des expérimentations (cf. tous les patchs orientés sécurité pour Linux, OpenBSD, ...) sans avoir a tout ré-écrire from scratch. C'est un bon terrain pour la recherche dans ce domaine, alors que coté propriétaire, la recherche est forcément restreinte à la boite qui fait le système. Ca permet aussi à une grosse boite de se faire une version maison du système, (je ne pense pas que ça soit une hasard si Google a choisi Linux par exemple.)

* Et accessoirement, si Linux ne se montrait pas aujourd'hui comme un concurrent sérieux de Windows, on ne voit pas pourquoi les gens de MS se feraient chier à faire mieux que les vieux Windows, vu qu'a l'époque, ils pouvaient inonder le marché avec de la m****, ...

> je rebondissais sur ton message a partir de la derniere phrase, sur le fait que
> tu concluais que Linux etait forcement plus secure que Windows.

Pas du tout, je disais le fait qu'il y ai moins d'attaques sur des serveurs Linux,. Et ça, c'est un fait. Je ne parle pas de vulnérabilité, mais d'attaques réussies concrêtement.

Et si tu relis mon post, tu verras que je ne donne pas d'arguments, mais des facteurs qui rentrent en compte, avec quelques exemples pour que les gens comprennent.

Bon, je te plussoie quand même en gage de bonne foie :-)

> on compare 2 produits sur leurs DEFAUTS, et pas leurs QUALITES.

Ben, quand on parle de sécurité, c'est quand même les failles de sécurités qui sont les plus importantes. Ca ne fait pas tout, mais quand même ...

> Quand je signale un lien d'une ML concernant les probleme d'OpenSSH, d'une
> personne a subit des attaques a cause des bugs d'OpenSSH, bah c'est du FUD.

J'ai dit ou que tu faisais du FUD ?

> Ca, c'est du FUD aussi. Bah oui, ca peut pas etre vrai, linux moins secure que windows, allons.

J'ai dit ou le contraire ? Je re-cite mon propre message, vu que visiblement, tu ne l'as pas lu :

il faut arreter de croire que Linux est 100% secure quoi qu'il arrive.

> faudrait arreter les "FUD" des qu'on tape sur linux, et avancer des vrais arguments contre ces critiques.

Tu peux me citer un passage de mon message que tu considères comme du FUD, qu'on y voit plus clair ?

Peut être "Si on regarde tous ces points, on explique sans problème le fait qu'il y ai moins d'attaques sur des serveurs Linux,".

Bah, oui, le fait est que SQL Slammer, Blaster, SVEN, I LOVE YOU, etc, on n'en a pas encore eu beaucoup sous Linux. Je voulais insister sur le fait que le nombre d'attaque n'est pas directement lié à la sécurisation d'un OS. En bref, on disait la même chose, et tu t'en serais rendu compte si tu avais lu mon message.

Ben oui, savoir si un système est plus sécurisé qu'un autre est plus compliqué qu'il n'y parrait. Pour faire une liste non exhaustive des facteurs qui rentrent en compte :

* Nombre total de faille (inconnu, par définition)

* Quantité de failles corrigées, et temps mis pour les corriger. (Ca, c'est facile à mesurer, et c'est là dessus que MS cible son attaque.)

* Nombre de services activés par défaut.

* Nombre d'exploit pour une faille (Sur ce point, MS part avec un gros handicap), qui dépends de pleins de choses :

- Réputation de l'éditeur
- Niveau de challenge pour un cracker. Par exemple, NT4 est de moins en moins attaqué, tout simplement parce qu'il n'y a plus trop de gloire pour un cracker à le faire. Cracker un W2000, voire W2003, c'est plus /in/.
- Les possibilités de devenir célèbre avec des connaissances en informatiques. Sous Windows, si tu trouves une faille, tu as plus de chance de devenir célèbre en écrivant un virus qu'un patch. Sous Linux, si le but est de devenir célèbre, tu peux devenir un contributeur actif et faire parler de toi. C'est bête, mais c'est souvent comme ça que commencent les histoires de vers ou virus. Que ce serait-il passé si Torvalds avait décidé d'écrire un virus à la place d'un kernel open source ?

* Temps que mettent les utilisateurs à patcher. Par exemple, un système pour particulier sera souvent plus facile à attaquer qu'un système pour entreprise, simplement parce qu'en entreprise, il y a un admin qui est payé pour mettre à jour, alors que chez les particuliers, il y a des vers qui utilisent des failles corrigées depuis 2 ans et qui marchent du tonnerre !

* Compétences des utilisateurs pour protéger leur système. Ne serait-ce que cliquer sur la case "Clique ici, c'est pour ton bien, je vais mettre un firewall" est déjà trop compliqué pour beaucoup de gens.


Si on regarde tous ces points, on explique sans problème le fait qu'il y ai moins d'attaques sur des serveurs Linux, mais il faut arreter de croire que Linux est 100% secure quoi qu'il arrive.

Ben si cette faille là ne te conviens pas, tu peux prendre celle ci ;-) :

http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-004/(...)

(Attention, je ne suis pas en train de dire du mal de mutt ! Pour l'avoir utilisé pendant plusieurs mois, je peux confirmer que c'est un logiciel très bien écrit et très robuste, mais bon, j'en ai un peu marre des idées reçues "Linux = 100% sécurisé et Windows = 100% pas sécurisé." La réalité est un peu plus compliquée.)

Tu voudrais pas expliquer à mes parents ? ;-)

Moi, j'ai pas réussi :-(

("Oui, mais bon, nous, c'est pas pareil, on n'est pas devant notre machine toute la journée"

"Ah, oui, on pourrait, mais c'est trop compliqué, faut que je me remette la dedans, voir comment ça marche, ...")

Quand même, ça serait pas plus simple que l'installeur de XP propose directement de créer un utilisateur non privilégié, et qu'ensuite, l'écran de log mette un Warning de 3km de haut quand on essaye de se logger en temps que root ?

> Pourtant microsoft est le seul a avoir créé un client mail qui te permet de tout bousiller sur ta machine,

Tiens, mutt

http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-055/index.html.2.h(...)

et pine

http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-150/(...)

sont faits par Microsoft maintenant ?

http://gnuwin.epfl.ch/(...)

Et également

http://theopencd.sunsite.dk/(...)

(Ca serait bien de rajouter les liens dans la dépèche ...)

Tu m'expliques ou j'ai dit le contraire ?

J'ai dit que le fait d'avoir patché ton apache ne garantissait pas à 100% qu'il n'y ai pas une faille exploitable dedans.

Donc, si tu veux sécuriser ton serveur, plutôt que d'avoir un apache pour lequel tu n'est pas sur qu'il n'y ai pas de faille, et un kernel pour lequel tu es sur qu'il y en ai une, autant patcher ton kernel. C'est pas cher et ça peut rapporter gros.

Les patchs, c'est bon, mangez-en !

Question d'un ignorant :

Y'a pas un équivalent de http://www.debian.org/distrib/packages(...) pour Mandrake quelque part ? Je trouve pas ... (cad : un site web qui donne la liste des packages et des fonctionalités de recherche sans avoir la distrib sous la main.)

> "Il suffit de passer par une faille Apache", encore faut-il qu'il ne soit pas patché ...

Et le jour ou un pirate trouve une faille mais qu'il ne publie pas l'exploit, il est root chez toi alors que ton système est à jour.

> Pour programmer: 2 frames d'emacs et un terminal visibles en meme temps.
> Si si, c'est possible en 1024x768 (c'etait possible il y a quelques annees,
> pas de raisons pour que ca aie change...)

Je dirais même plus : Un Emacs en plein écran, et utiliser term.el pour émuler le terminal.

Moi aussi, je trouvais que les interfaces fenêtrées, ca suX, mais il suffit d'avoir des applis en plein écran.

> Pour le desktop, demandes toi ce que Sun a a perdre sur le marche desktop,
> reponse : rien vu qu'il n'est pas present sur le desktop,

Et l'inscription "SUN" qu'il y a sur ma station de travail, c'est la marque de lessive ? ;-)

Bien sur, il y a peu de stations SUN chez les secrétaires, mais des SUN comme poste de travail, et avec des gens qui font de la bureautique dessus (Il y a quelques années, la seule solution était de lancer un metaframe ou équivalent), il y en a.

Donc, s/rien/pas beaucoup/.

> C'est vrai qu'au niveau des menus je vois moins l'interet,

Avec les menus à la Gtk qui peuvent se détacher et devenir une fenêtre a part entière, ça peut devenir vraiment util.

> Les menus transparents et les fenêtres ombrées c'est deja possible,

Oui, avec un vieux hack qui bouffe justement pas mal de ressources.

> Alors s'amuser à alourdir considérablement l'interface graphique de nos systèmes

Justement, en faisant de la transparence une primitive X, tu évites le vieux hack, et tu rends pleins d'optimisations possibles.

En particulier, la gestion d'un cache pourrait à mon avis optimiser radicalement la consommation de la bande passante dans le cas d'une utilisation distante.

> Bien entendu, étant dérivé de OOo, l'application est GPL,

Je ne trouve pas ça si évident, vu que OOo est sous double licence LGPL/Sun-je-sais-plus-quoi.

D'ailleurs, dans la FAQ, le type dit qu'il pourra repasser certaines portions sous LGPL, mais je doute que ce soit possible ...

Si il n'y a pas les parenthèses autour, oui. gcc -Wall trouve du premier coup.

Seulement, là, il a bien mis les bonnes parenthèses pour éviter le warning, donc, les "bons outils" dont tu parle, ils se disent "Ouh la la, ça craint !!! ... Ah, non, il me fait signe qu'il a fait exprès."

Si tu fais un outil qui donne un warning dès qu'il trouve une affectation dans un if, tu vas avoir des centaines de warnings sur un gros programme en C, vu que c'est une pratique assez courrante, genre

if ((x = next_value())) {
...
}

Tiens, j'en ai une dans un exemple de la libc :

http://www.gnu.org/software/libc/manual/html_node/Example-of-Getopt(...)

Ce genre d'outils est très efficace pour trouver des fautes d'inattention (déjà, compilez avec -Wall -Werror, ça limite vachement la casse), mais contre une backdoor volontaire, tu ne peux pas faire grand chose.

> visiblement, avec mkisofs, on ne peut pas remplacer un fichier d'une session précédante.

Je me réponds à moi même : En fait, si, c'est possible. Ca change pas mal de chose en fait. ^_^

> C'est le genre de code sur lequel GCC te sort un gros warning, avec sirène et gyrophare.

Non. Pas avec les parenthèses autour.

Bienvenue dans le monde du libre. C'est comme ça que marchent une bonne partie des projets libres. (OpenOffice.org sans doute en tête de liste).

Ah, ces égoïstes chez RedHat ...


"The Fedora Project is a *Red-Hat-sponsored* [...] open source project."

Ah, non, pas tant que ça, tiens !

> c'est que les gens sont trop formatés à Windows,

J'ai déjà eu le cas typique :

- J'arrive pas à copier un fichier sur une disquette (sous KDE)

- Bah, tu as une icone disquette sur le bureau, non ?

- Oui, j'arrive à lire des fichiers, mais pas à écrire dessus.

- Bah, fait glisser le fichier que tu veux sur l'icone, ça marche pas ?

- Ah si, j'y avais pas pensé ...

Parce que la personne était habituée à l'explorateur Windows, avec "poste de travail" à la racine, et "a:" juste en dessous.

> Oui, mais comment tu voles le hash en 1) ?

Tu utilise une des multiples failles de sécurités présente sur le serveur pour t'introduire dessus (c'est difficile, mais cite moi un système impiratable -- troll : à part OpenBSD ...).

Ensuite, tu as toute la base, en clair, à porté de la main.

Si on suppose que ce n'est pas possible, alors par exemple, quelle est l'utilité de hasher les mots de passes dans /etc/shadow ?