T'as une variable qui definit la taille d'une structure globale a allouer.
T'as 2 requetes qui arrivent presque en meme temps, la 1ere definit une taille et ton thread bouge un peu plus loin pour allouer mais est preempte, pendant ce temps la 2eme requete passe, definit une nouvelle taille plus petite et est preempte, ton premier thread reprend, alloue un buffer plus petit que la structure de la 1ere requete, et paf lors de la copie il y a un buffer overflow.
La cause initiale est une race condition, le resultat final est un buffer overflow.
C'est un exemple basique que je t'ai cuit en 2 minutes. Tu vas me dire "ouais mais il suffit de XXX pour que ca n'arrive pas, le developpeur est un nul !", mais tu vois, la realite est que tu as certainement deja fait des erreurs de ce genre ou meme pire, parce que ca arrive a tout le monde quand le code devient un minimum complique, et crois moi un OS ca a des bouts codes incroyablement complexes avec du code s'executant en asynchrone un peu partout histoire d'avoir des performance correctes.
J'en ai plein d'autres si tu veux, les failles de securite ca a ete mon pain pendant plus de 6 ans sur une plateforme qui a ete probablement 10x plus testee que tous les bouts de code que tu as pu voir dans ta carriere, t'as pas idee de ce qu'il peut y avoir comme faille...
Je m amuse avec plusieurs outils, des valeurs extremes, des caracteres aleatoires ... mon but est que dans le pire des cas, ca remonte seulement une erreur. Il est facile de tester tous les caracteres possibles ainsi que des tailles depassant les buffers internes qui sont bornes. les soucis d archi, ca se passe a un autre niveau que ton code C (hormis la taille de certaines variables, mais c est connu et documente)
Et comme j ai dit, la problematique des BOFs t en as vite fait le tour. Il existe pire que cela.
Je peux te citer une ribambelle de developpeurs chez nous qui ont des annees et des annees d'experience, qui ont un niveau a faire rougir le plus baleze des developpeurs que tu connaisses, et pourtant j'ai trouve des failles dans leur code, malgre le fuzzing de leur equipe de test.
Encore une fois, croire que c'est simple est un aller simple pour le ravin. Si tu crois que le fuzzing c'est facile et qu'il suffit de tester tous les caracteres et tailles, crois-moi t'as encore rien vu, ca c'est les cas basiques de fuzzing. Il y a tous les cas de race conditions, de changement d'etat, etc... qui entrent en compte par exemple et qui peuvent te sortir un BOF la ou tu ne l'attendrais jamais.
Désolé... Moi je croyais qu'un logiciel prenant autant de place que deux DVD Debian n'avais pas besoin de plugin, puisque pour que ça prenne cette taille c'est que ça devait intégrer tout ce qui existait sur terre ...
Deux DVD Debian ? Marrant, mon install ne prend pas autant de place...
Et puis SVN ça va bien 5 minutes, et de ce que j'en lis, VS n'est pas adapté aux workflow des SCM distribués. On dirait Eclipse et son plugin pour Git, qui est complètement imbitable que même linus torvalds ne retrouverai pas ses petits.
Les SCM distribues j'en sais rien je les ai jamais utilises, pour les autres c'est totalement utilisable avec le plugin approprie, on ne fait que ca en interne.
Ça c'est quand c'est moi qui fait la config, et encore, c'est tellement chiant de devoir resélectionner toujours l'option que parfois j'oublie. Et si c'est pas moi, mais quelqu'un d'autre et qu'il ne fait pas gaffe ...
Franchement, ou est la justification du fait de séparer les deux complètement ? La conffe de développement est si différente de la conffe de prod ?
Absolument oui, par exemple :
- T'as des #define definis uniquement pour le mode DEBUG qui ralentissent le produit mais facilitent enormement le debuggage (cherche _ITERATOR_DEBUG_LEVEL dans STL pour un exemple)
- T'as pas forcement envie que les actions post-builds balancent tes binaires au meme endroit (machine de test, etc...)
- Si tu link des binaires entre eux avec interfaces C++, tes modes debug et release doivent cibler des binaires differents car ces binaires seront differents
etc...
Manifestement à l'époque ou je l'utilisait (y a 6 mois), je t'avais pas attendu pour trouver ce menu, puisque j'y vois un c++ et h++ dedans... Bien sur, après c'est reconnu comme source C++, mais ça veut pas pour autant le compiler. À la place ça me met une erreur bien flippante du genre "t'a tout merdé, réinstalle!". On sens le logiciel de qualité !
Une fois que tu m'auras montre que le probleme est situe dans le produit (c'est repetable, etc...) je penserais a cibler le produit, d'ici la je continuerai a penser, en ayant lu ce que tu connais de VStudio, que le probleme est sur la chaise...
J'ai passe plus de 6 ans a faire de la securite sur l'OS le plus utilise de la planete, ecrit par certains des meilleurs developpeurs C de la planete avec probablement un des meilleurs niveau de QA tous OS confondus, et j'ai vu nombre de problemes avec ces fonctions au point ou maintenant elles ont TOUTES ete remplacees par d'autres fonctions plus sures, bref on va dire que de l'exeperience niveau BOFs j'en ai jusqu'au cou.
Alos dis-moi donc, pourquoi un groupe comme le notre compose de gens pourtant tres solides niveau C, avec des outils d'analyse statique parmis les plus avances qui soient, avec une utilisation systematique du fuzzing, avons pris cette decision ? On avait envie pour le fun de virer ces appels partout ?
Parer des BOFs n'est PAS simple. C'est simple dans le cas simple et basic ou t'as un printf dans un hello world evidemment, mais c'est pas le cas de la majorite des printf dans des vrais softs un tant soit peu complexe.
A mon avis ces comparaisons n'ont pas trop de sens. L'IDE utilise va bcp varier selon le langage, bref t'auras plus une estimation des parts de langages qu'autre chose.
C++ ou C# ? A peu pres tout le monde utilise Visual Studio sous Windows
Java ? Ca sera Eclipse/netbeans, Visual Studio ne gere pas Java par defaut donc faudrait etre un peu dingue pour se faire chier a le customiser et l'utiliser la.
Des garanties ? C'est TECHNIQUEMENT IMPOSSIBLE , comment veux tu qu'on donne des garanties lorsque c'est techniquement irrealisable ?
C'est dans le journal, j'ai cité dovecot et djdns.
Super ! Tu veux que je te trouves 2-3 composants dans Windows qui n'ont jamais eu de failles ? Sans probleme hein. Mais on parle d'un OS entier utilise par 1 milliard de gens donc cible privilegiee, pas de 2 softs utilises par 3 pekins.
Faudrait penser a comparer ce qui est comparable.
Et ? La responsabilité sera à qui de droit, je vois pas ce que tu veux dire là.
Et ? Tu trouves pas que proteger ta grand-mere est mieux que lui dire "facile, va te plaindre a Adobe !" ?
Ma critique n'est pas là, mais sur le fait que le réseau n'est pas fait pour assurer la sécurité des machines connectées. Le réseau est sensé être un simple tuyau.
Et rien n'a change, ces pages n'ont pas disparu du reseau, elles ont simplement ete evaluees comme ayant zero valeur pour les utilisateurs de Google. Tu vas peut-etre me dire que cette evaluation est mauvaise ?
Allez, donnes moi donc un exemple d'effort qu'on ne fait pas mais que cette fantastique communaute Linux (ou les entreprises autour) fait.
Appeler ce que Google fait une censure est, desole du terme, une grosse connerie. Esperer qu'un utilisateur avec des dizaines de softs & plugins installes sur sa machine en moyenne soit tout le temps a jour est une chimere, peu importe l'OS, sans parler du fait qu'enormement de malwares n'utilisent absolument pas une faille mais la credulite de l'utilisateur.
Partant de la que Google bloque un gros nid de malware sans aucune autre valeur est tout a leur honneur. Ca aidera enormement de gens s'y connaissant peu qui se feraient avoir sans cela, que leur OS soit sur et/ou a jour ou pas.
Tu n'as jamais eu de bug dans ton code ? T'as jamais eu un cas ou tu t'es rendu compte que t'as fait une connerie ?
Oui ? Ben bienvenue dans le monde de tous les developpeurs de cette planete. C'est comme ca que les failles se creent, dire "il suffit de" est juste un gag, parce que bon, je peux generaliser hein :
Il suffit de ne jamais faire d'erreur et c'est regle, c'est pourtant simple !
et les options des projets restent comme d'habitude complètement imbitables (surtout sous windows ou linker est une vraie galère) et mal organisé avec encore leur séparation minable debug-release ou par défault tu n'en configure qu'un seul des deux.
Tu assumes totalement si tu n'en configures qu'un des deux, il est tout a fait possible de changer les parametres dans toutes les config a la fois d'un coup.
Sans parler de la gestion chiante des fichiers (impossible d'arriver à lui faire respecter l'arbo du système de fichier !)
Ca veut dire quoi ca ? J'ai rien compris, j'ai jamais eu de problemes a lui faire creer les fichiers la ou je veux ou lui faire ajouter des fichiers existants sans qu'il les recopie ailleurs.
et de l'importation (si tu veux importer 500 fichiers .h++/.c++ qui n'ont pas de projet ... ben t'est foutu. bonne chance pour lui faire bouffer du .c++/.h++ en tant que "source C++" et "header C++" sans devoir lui dire pour chaque fichier).
mouais, ça fait juste une vingtaine d'années que je programme en C et je n'ai participé qu'à une vingtaine de projets open source, windows ou unix. Je manque en effet un peu d'expérience. Il faudra aussi que je mentionne devant mes étudiants en informatique que je n'ai pas beaucoup d'expérience.
Desole mon cher, mais sortir une ineptie pareille donne l'image que j'ai decrite. Il suffit de regarder les failles trouvees pendant des annees pour voir que non, lire la doc ne suffit pas, l'erreur est humaine et certains cas sont plus compliques que tu ne le penses (il n'est pas evident que le texte vient de l'exterieur, etc...)
Moi je te dirai plutot que tu n'as visiblement pas bcp d'experience du sujet.
Le nombre de failles causees par les fonctions type printf est enorme et nombre de gens s'y sont pris les pieds. Croire que seuls les developpeurs debiles se plantent et qu'il 'suffit' de lire la doc est un gros gag. Si c'etait si simple il n'y aurait jamais de bugs.
Il y a un moment où il te faut une machine virtuelle. Soit elle est logicielle en langage machine (même si elle subit une ou plusieurs étapes de compilation), soit tu grave la machine virtuelle dans la CPU et le byte code peut s'exécuter directement dessus.
Le prix du billet a certainement bcp augmente, mais ils ont aussi serieusement augmente la desserte et les frequences.
De mon point de vue ils en ont d'ailleurs trop fait (tout comme les TPG a Geneve ou le moindre trajet coute 3Fr a cause de ce reseau enorme et sur-desservi maintenant), mais evidemment on peut pas tout avoir, et il ne faut pas oublier que les employes des CFF comme tout employes recoivent des hausses de salaires.
Rien a voir, je suis d'accord sur ce principe de transports publics.
Mais faut pas dire que les prix ont augmente quand la SNCF met le billet a sa vraie valeur, c'est pas le cas, elle a simplement arrete de cacher le prix total du billet que tu paies de toute facon.
Si tu allais de temps en temps sur un parking de supermarché discount, tu verrais plein de gens qui viennent à pied (sauf s'il est décentré et là c'est le bus s'il y en a). Et je n'ai jamais vu une porche sur un parking de supermarché discount, ni un merco 500 sec.
Moi j'y vais a pied aussi, j'ai plus de voiture depuis 4 ans d'ailleurs. Pourtant au rythme ou je vais je serai a la retraite sur une plage avant 50 ans (ben oui, ne pas avoir de voiture ca economise de l'argent, meme pour les non-pauvres)
Devines quoi, les gens qui partent en vacances avec EasyJet, ils achetent pas leur billet 2 jours avant ! En aout c'est 190, et c'est bien moins cher que les autres compagnies.
La tu reves pas mal. Je peux te citer tout un tas de gens que je connais personnellement vivant a Geneve qui gagnent tres bien leur vie qui prennent EasyJet pour aller a Nice, Londres, Malaga, etc... parce que c'est pas cher et ca leur permet de faire plus dans le meme budget vacances.
Tiens, moi j'ai deja pris EasyJet 2-3 fois (et j'ai une fois fait la gigantesque erreur de prendre Wizz Air, erreur que je ne referais plus jamais), au final j'ai jamais eu de vrai probleme a part des retards de genre 2h, mais au prix ou j'ai paye le billet j'allais pas me plaindre. Est-ce que j'aurais pu prendre mieux et plus cher ? Absolument, j'ai tres largement les moyens.
Voila, moi EasyJet ne m'a jamais pose de vrai probleme serieux, car je sais a quoi m'attendre. Je me promene pas avec 15 valises, je prends pas un vol de 6h avec eux, je me fait pas des correspondances avec 1h30 entre 2 vols, etc... Quand j'ai ca, ben je paie en consequence, je prends une autre compagnie et je me prends pas la tete (sauf quand c'est Air France ou BA et qu'ils font greve bien entendu).
[^] # Re: works for me
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 1.
Eeuuuhhh... il y a plein de tres bonnes raisons d'instancier des vecteurs dynamiquement, j'ai du mal a croire que tu n'en aie jamais vu...
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 3.
T'as une variable qui definit la taille d'une structure globale a allouer.
T'as 2 requetes qui arrivent presque en meme temps, la 1ere definit une taille et ton thread bouge un peu plus loin pour allouer mais est preempte, pendant ce temps la 2eme requete passe, definit une nouvelle taille plus petite et est preempte, ton premier thread reprend, alloue un buffer plus petit que la structure de la 1ere requete, et paf lors de la copie il y a un buffer overflow.
La cause initiale est une race condition, le resultat final est un buffer overflow.
C'est un exemple basique que je t'ai cuit en 2 minutes. Tu vas me dire "ouais mais il suffit de XXX pour que ca n'arrive pas, le developpeur est un nul !", mais tu vois, la realite est que tu as certainement deja fait des erreurs de ce genre ou meme pire, parce que ca arrive a tout le monde quand le code devient un minimum complique, et crois moi un OS ca a des bouts codes incroyablement complexes avec du code s'executant en asynchrone un peu partout histoire d'avoir des performance correctes.
J'en ai plein d'autres si tu veux, les failles de securite ca a ete mon pain pendant plus de 6 ans sur une plateforme qui a ete probablement 10x plus testee que tous les bouts de code que tu as pu voir dans ta carriere, t'as pas idee de ce qu'il peut y avoir comme faille...
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 3.
Je m amuse avec plusieurs outils, des valeurs extremes, des caracteres aleatoires ... mon but est que dans le pire des cas, ca remonte seulement une erreur. Il est facile de tester tous les caracteres possibles ainsi que des tailles depassant les buffers internes qui sont bornes. les soucis d archi, ca se passe a un autre niveau que ton code C (hormis la taille de certaines variables, mais c est connu et documente)
Et comme j ai dit, la problematique des BOFs t en as vite fait le tour. Il existe pire que cela.
Je peux te citer une ribambelle de developpeurs chez nous qui ont des annees et des annees d'experience, qui ont un niveau a faire rougir le plus baleze des developpeurs que tu connaisses, et pourtant j'ai trouve des failles dans leur code, malgre le fuzzing de leur equipe de test.
Encore une fois, croire que c'est simple est un aller simple pour le ravin. Si tu crois que le fuzzing c'est facile et qu'il suffit de tester tous les caracteres et tailles, crois-moi t'as encore rien vu, ca c'est les cas basiques de fuzzing. Il y a tous les cas de race conditions, de changement d'etat, etc... qui entrent en compte par exemple et qui peuvent te sortir un BOF la ou tu ne l'attendrais jamais.
[^] # Re: Chacun son style
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 3.
Désolé... Moi je croyais qu'un logiciel prenant autant de place que deux DVD Debian n'avais pas besoin de plugin, puisque pour que ça prenne cette taille c'est que ça devait intégrer tout ce qui existait sur terre ...
Deux DVD Debian ? Marrant, mon install ne prend pas autant de place...
Et puis SVN ça va bien 5 minutes, et de ce que j'en lis, VS n'est pas adapté aux workflow des SCM distribués. On dirait Eclipse et son plugin pour Git, qui est complètement imbitable que même linus torvalds ne retrouverai pas ses petits.
Les SCM distribues j'en sais rien je les ai jamais utilises, pour les autres c'est totalement utilisable avec le plugin approprie, on ne fait que ca en interne.
Ça c'est quand c'est moi qui fait la config, et encore, c'est tellement chiant de devoir resélectionner toujours l'option que parfois j'oublie. Et si c'est pas moi, mais quelqu'un d'autre et qu'il ne fait pas gaffe ...
Franchement, ou est la justification du fait de séparer les deux complètement ? La conffe de développement est si différente de la conffe de prod ?
Absolument oui, par exemple :
- T'as des #define definis uniquement pour le mode DEBUG qui ralentissent le produit mais facilitent enormement le debuggage (cherche _ITERATOR_DEBUG_LEVEL dans STL pour un exemple)
- T'as pas forcement envie que les actions post-builds balancent tes binaires au meme endroit (machine de test, etc...)
- Si tu link des binaires entre eux avec interfaces C++, tes modes debug et release doivent cibler des binaires differents car ces binaires seront differents
etc...
Manifestement à l'époque ou je l'utilisait (y a 6 mois), je t'avais pas attendu pour trouver ce menu, puisque j'y vois un c++ et h++ dedans... Bien sur, après c'est reconnu comme source C++, mais ça veut pas pour autant le compiler. À la place ça me met une erreur bien flippante du genre "t'a tout merdé, réinstalle!". On sens le logiciel de qualité !
Une fois que tu m'auras montre que le probleme est situe dans le produit (c'est repetable, etc...) je penserais a cibler le produit, d'ici la je continuerai a penser, en ayant lu ce que tu connais de VStudio, que le probleme est sur la chaise...
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 6.
J'ai passe plus de 6 ans a faire de la securite sur l'OS le plus utilise de la planete, ecrit par certains des meilleurs developpeurs C de la planete avec probablement un des meilleurs niveau de QA tous OS confondus, et j'ai vu nombre de problemes avec ces fonctions au point ou maintenant elles ont TOUTES ete remplacees par d'autres fonctions plus sures, bref on va dire que de l'exeperience niveau BOFs j'en ai jusqu'au cou.
Alos dis-moi donc, pourquoi un groupe comme le notre compose de gens pourtant tres solides niveau C, avec des outils d'analyse statique parmis les plus avances qui soient, avec une utilisation systematique du fuzzing, avons pris cette decision ? On avait envie pour le fun de virer ces appels partout ?
Parer des BOFs n'est PAS simple. C'est simple dans le cas simple et basic ou t'as un printf dans un hello world evidemment, mais c'est pas le cas de la majorite des printf dans des vrais softs un tant soit peu complexe.
[^] # Re: Chacun son style
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 1.
A mon avis ces comparaisons n'ont pas trop de sens. L'IDE utilise va bcp varier selon le langage, bref t'auras plus une estimation des parts de langages qu'autre chose.
C++ ou C# ? A peu pres tout le monde utilise Visual Studio sous Windows
Java ? Ca sera Eclipse/netbeans, Visual Studio ne gere pas Java par defaut donc faudrait etre un peu dingue pour se faire chier a le customiser et l'utiliser la.
[^] # Re: Éducation
Posté par pasBill pasGates . En réponse au journal Google censure !. Évalué à -1.
C'est dans le journal, pas de garanties.
Des garanties ? C'est TECHNIQUEMENT IMPOSSIBLE , comment veux tu qu'on donne des garanties lorsque c'est techniquement irrealisable ?
C'est dans le journal, j'ai cité dovecot et djdns.
Super ! Tu veux que je te trouves 2-3 composants dans Windows qui n'ont jamais eu de failles ? Sans probleme hein. Mais on parle d'un OS entier utilise par 1 milliard de gens donc cible privilegiee, pas de 2 softs utilises par 3 pekins.
Faudrait penser a comparer ce qui est comparable.
Et ? La responsabilité sera à qui de droit, je vois pas ce que tu veux dire là.
Et ? Tu trouves pas que proteger ta grand-mere est mieux que lui dire "facile, va te plaindre a Adobe !" ?
Ma critique n'est pas là, mais sur le fait que le réseau n'est pas fait pour assurer la sécurité des machines connectées. Le réseau est sensé être un simple tuyau.
Et rien n'a change, ces pages n'ont pas disparu du reseau, elles ont simplement ete evaluees comme ayant zero valeur pour les utilisateurs de Google. Tu vas peut-etre me dire que cette evaluation est mauvaise ?
[^] # Re: Éducation
Posté par pasBill pasGates . En réponse au journal Google censure !. Évalué à -9.
Et c'est quel effort qu'on ne fait pas ?
Allez, donnes moi donc un exemple d'effort qu'on ne fait pas mais que cette fantastique communaute Linux (ou les entreprises autour) fait.
Appeler ce que Google fait une censure est, desole du terme, une grosse connerie. Esperer qu'un utilisateur avec des dizaines de softs & plugins installes sur sa machine en moyenne soit tout le temps a jour est une chimere, peu importe l'OS, sans parler du fait qu'enormement de malwares n'utilisent absolument pas une faille mais la credulite de l'utilisateur.
Partant de la que Google bloque un gros nid de malware sans aucune autre valeur est tout a leur honneur. Ca aidera enormement de gens s'y connaissant peu qui se feraient avoir sans cela, que leur OS soit sur et/ou a jour ou pas.
[^] # Re: Chacun son style
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 4.
Tu me montres un soft qui fait du refactoring en C++ correctement ? Ah oui ca n'existe pas...
Et le refactoring de VStudio pour C#, t'en penses quoi ?
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 4.
Tu n'as jamais eu de bug dans ton code ? T'as jamais eu un cas ou tu t'es rendu compte que t'as fait une connerie ?
Oui ? Ben bienvenue dans le monde de tous les developpeurs de cette planete. C'est comme ca que les failles se creent, dire "il suffit de" est juste un gag, parce que bon, je peux generaliser hein :
Il suffit de ne jamais faire d'erreur et c'est regle, c'est pourtant simple !
[^] # Re: Chacun son style
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 2.
y avais aucune intégration avec git/mercurial, et je suis même pas sûr qu'il y avais ne serait-ce que cvs ou svn
Ce genre de truc se fait a travers des plugins, http://www.visualsvn.com/ par exemple.
et les options des projets restent comme d'habitude complètement imbitables (surtout sous windows ou linker est une vraie galère) et mal organisé avec encore leur séparation minable debug-release ou par défault tu n'en configure qu'un seul des deux.
Tu assumes totalement si tu n'en configures qu'un des deux, il est tout a fait possible de changer les parametres dans toutes les config a la fois d'un coup.
Sans parler de la gestion chiante des fichiers (impossible d'arriver à lui faire respecter l'arbo du système de fichier !)
Ca veut dire quoi ca ? J'ai rien compris, j'ai jamais eu de problemes a lui faire creer les fichiers la ou je veux ou lui faire ajouter des fichiers existants sans qu'il les recopie ailleurs.
et de l'importation (si tu veux importer 500 fichiers .h++/.c++ qui n'ont pas de projet ... ben t'est foutu. bonne chance pour lui faire bouffer du .c++/.h++ en tant que "source C++" et "header C++" sans devoir lui dire pour chaque fichier).
Tools -> Options -> Projects & Solutions -> VC++ Project Settings -> C/C++ File Extensions
On va dire que tu connais VStudio assez mal...
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 3.
mouais, ça fait juste une vingtaine d'années que je programme en C et je n'ai participé qu'à une vingtaine de projets open source, windows ou unix. Je manque en effet un peu d'expérience. Il faudra aussi que je mentionne devant mes étudiants en informatique que je n'ai pas beaucoup d'expérience.
Desole mon cher, mais sortir une ineptie pareille donne l'image que j'ai decrite. Il suffit de regarder les failles trouvees pendant des annees pour voir que non, lire la doc ne suffit pas, l'erreur est humaine et certains cas sont plus compliques que tu ne le penses (il n'est pas evident que le texte vient de l'exterieur, etc...)
[^] # Re: Chacun son style
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à -4.
A la crade : le constructeur appelle une methode d'init statique...
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 5.
Moi je te dirai plutot que tu n'as visiblement pas bcp d'experience du sujet.
Le nombre de failles causees par les fonctions type printf est enorme et nombre de gens s'y sont pris les pieds. Croire que seuls les developpeurs debiles se plantent et qu'il 'suffit' de lire la doc est un gros gag. Si c'etait si simple il n'y aurait jamais de bugs.
[^] # Re: Les développeurs Java
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 1.
T'as pas compris, il n'y a pas de VM, le code est compile en natif et tourne directement sur le CPU.
[^] # Re: Les développeurs Java
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 2.
Il y a un moment où il te faut une machine virtuelle. Soit elle est logicielle en langage machine (même si elle subit une ou plusieurs étapes de compilation), soit tu grave la machine virtuelle dans la CPU et le byte code peut s'exécuter directement dessus.
En fait... non, t'en as pas forcement besoin. cf. http://research.microsoft.com/en-us/um/people/larus/talks/cav08_invited_talk.pdf (cherches le mot Bartok)
Le code est verifie, puis compile en code natif.
[^] # Re: Les développeurs Java
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 0.
Ce genre de projet (il en existe aussi pour Java), ne sont pas viable tant que la VM n'est pas gravé dans le silicium.
On va dire que tu sous-estime serieusement ce qu'il est possible de faire avec une architecture appropriee...
[^] # Re: Meego data
Posté par pasBill pasGates . En réponse au journal Nokia et le N9 sous Meego: Le chaud puis le froid puis le chaud puis.... Évalué à -1.
Je trouves scandaleux qu'il n'y ait aucune mention du the froid Migros sur la page Wikipedia, alors que c'est de tres loin leur produit phare !
[^] # Re: Il fut un temps...
Posté par pasBill pasGates . En réponse au journal SNCF et Relation Client. Évalué à -1.
Le prix du billet a certainement bcp augmente, mais ils ont aussi serieusement augmente la desserte et les frequences.
De mon point de vue ils en ont d'ailleurs trop fait (tout comme les TPG a Geneve ou le moindre trajet coute 3Fr a cause de ce reseau enorme et sur-desservi maintenant), mais evidemment on peut pas tout avoir, et il ne faut pas oublier que les employes des CFF comme tout employes recoivent des hausses de salaires.
[^] # Re: Il fut un temps...
Posté par pasBill pasGates . En réponse au journal SNCF et Relation Client. Évalué à -1.
Rien a voir, je suis d'accord sur ce principe de transports publics.
Mais faut pas dire que les prix ont augmente quand la SNCF met le billet a sa vraie valeur, c'est pas le cas, elle a simplement arrete de cacher le prix total du billet que tu paies de toute facon.
[^] # Re: Il fut un temps...
Posté par pasBill pasGates . En réponse au journal SNCF et Relation Client. Évalué à -4.
Ben ouais, c'est sur que quand tes impots payaient en partie tes billets, le billet lui-meme etait pas trop cher hein ?
[^] # Re: Il fut un temps...
Posté par pasBill pasGates . En réponse au journal SNCF et Relation Client. Évalué à -4.
Si tu allais de temps en temps sur un parking de supermarché discount, tu verrais plein de gens qui viennent à pied (sauf s'il est décentré et là c'est le bus s'il y en a). Et je n'ai jamais vu une porche sur un parking de supermarché discount, ni un merco 500 sec.
Moi j'y vais a pied aussi, j'ai plus de voiture depuis 4 ans d'ailleurs. Pourtant au rythme ou je vais je serai a la retraite sur une plage avant 50 ans (ben oui, ne pas avoir de voiture ca economise de l'argent, meme pour les non-pauvres)
[^] # Re: Il fut un temps...
Posté par pasBill pasGates . En réponse au journal SNCF et Relation Client. Évalué à -1.
Devines quoi, les gens qui partent en vacances avec EasyJet, ils achetent pas leur billet 2 jours avant ! En aout c'est 190, et c'est bien moins cher que les autres compagnies.
[^] # Re: Il fut un temps...
Posté par pasBill pasGates . En réponse au journal SNCF et Relation Client. Évalué à -1.
La tu reves pas mal. Je peux te citer tout un tas de gens que je connais personnellement vivant a Geneve qui gagnent tres bien leur vie qui prennent EasyJet pour aller a Nice, Londres, Malaga, etc... parce que c'est pas cher et ca leur permet de faire plus dans le meme budget vacances.
Tiens, moi j'ai deja pris EasyJet 2-3 fois (et j'ai une fois fait la gigantesque erreur de prendre Wizz Air, erreur que je ne referais plus jamais), au final j'ai jamais eu de vrai probleme a part des retards de genre 2h, mais au prix ou j'ai paye le billet j'allais pas me plaindre. Est-ce que j'aurais pu prendre mieux et plus cher ? Absolument, j'ai tres largement les moyens.
Voila, moi EasyJet ne m'a jamais pose de vrai probleme serieux, car je sais a quoi m'attendre. Je me promene pas avec 15 valises, je prends pas un vol de 6h avec eux, je me fait pas des correspondances avec 1h30 entre 2 vols, etc... Quand j'ai ca, ben je paie en consequence, je prends une autre compagnie et je me prends pas la tete (sauf quand c'est Air France ou BA et qu'ils font greve bien entendu).
[^] # Re: HS
Posté par pasBill pasGates . En réponse au journal Les élus républicains tuent le successeur de Hubble. Évalué à -1.
Et Europ Assistance ils servent a quoi alors hein ?
Sur ce, je -->[]