pasBill pasGates a écrit 16060 commentaires

Meme pour Windows, il est meilleur que d'autres systemes pour certaines choses, moins bon pour d'autres.

L'OS miraculeux qui est meilleur a tous les plans, ca n'existe pas

Des softs qui accedent a des serveurs externes il y en a plein, je te parles pas d'une update de code hein, mais par exemple des extensions, sons, flux RSS ou autres. Ca manque pas les raisons d'acceder a un serveur externe hein.

Et c'est tout ce dont il y a besoin pour qu'une faille que j'ai laisse dans mon code libre soit declenchee selon mes envies, et que mon malware soit execute sur ta machine.

Non, je sous-entends que l'acces au code source des distribs et autres n'amene rien niveau securite en pratique.

Ca ne veut pas dire que le code source ouvert est pire a cause de ca hein, rien n'empeche d'utiliser les memes techniques de pen testing et analyse dynamique ou autre sur du code libre.

Je parles purement du mythe "code source dispo = meilleure securite"

J'ecris un soft libre, qui telecharge des updates de differents types depuis mon serveur a moi (images ou autres conneries au hasard) et fait un traitement dessus quel qu'il soit.

Le soft a une chance d'etre dans le depot de la distrib ?

Si oui, alors je peux aisement te poser un gros malware dedans a travers une faille dans la communication avec mon serveur, et je peux te garantir a 99.9% que personne le verra (suffit de voir le nombre de failles de ce type decouvertes dans les distribs qui etaient la depuis des annees)

Si non, ben ton depot ne remplit pas son boulot, une application legitime n'y est pas acceptee (en imaginant que je fais cette appli sans malware)

Allez tu as raison, winwin c'est le mieux du monde de l'univers et un code fermé c'est plus sur qu'on code ouvert.

Ah si seulement... Le probleme est que j'ai jamais dit cela...

Qu'un etudiant ou autre developpeur aleatoire le lise, c'est tres tres legerement mieux que ne pas le lire.

J'ai une bonne petee de cas ou a moins d'etre un gars qui s'y connait en securite, qui comprend tres bien comment le composant fonctionne, et etre en train de lire le code specifiquement pour y trouver des failles, tu passeras par dessus et n'y verra rien.

Et une faille, c'est l'equivalent d'un malware hein. Suffit que ton soft se connecte au serveur pour X raison, et tu mets la faille dans la communication/parsing/...

Lire le code n'est pas suffisant.

Tu as les connaissances et l'experience pour deceler la plupart des types de faille ? Non ? Donc un malware decent te passera sous le nez.

Moi je vais simplement te dire que trouver des failles ca a ete mon boulot pendant 6 ans, j'etais paye pour et malgre toute mon experience et celle de mes collegues, nombre de failles nous passaient sous le nez pour n'etre trouvees que par un fuzzer pendant le pen testing.

Alors compte combien de developpeurs ont une expertise en securite(parce qu'un non-expert, le nombre de failles qui lui passeront sous le nez est enorme), et compte combien d'entre eux vont aller relire le code de ces applications libres. Le compte est vite fait.

Oh qu'on se comprenne bien, c'est pas la faute d'Android, c'est la faute de Google qui ne signale pas clairement aux utilisateurs les dangers d'utiliser un appstore qui ne procede a aucun controle sur le contenu.

Dans ton monde parfait, le appstore que tu decris serait identique a ce qu'Apple fait (restrictions sur image de c*l et autres en moins), car de nouveau, personne n'irait relire le code de toute facon.

Ils font comme Apple

C'est certainement pas parfait, mais ca sera toujours plus efficace au total que la possibilite theorique de lire le code source que personne ne fait.

Ce sera un avantage le jour ou, en pratique, cela sera fait.

Les avantages theoriques ne valent absolument rien tant qu'ils ne sont pas mis en pratique.

Parce que relire le code c'est bien joli, mais si je veux te cacher un malware dans le code source et que personne le voie, je le ferai sans probleme, cacher un buffer overflow qui est mis en route par une communication avec mon serveur il n'y a rien de plus simple, et personne(= 99.99% de la population qui lit le code) ne le remarquera vu les differentes manieres de cacher cela et les connaissances requises pour detecter les cas pernicieux de buffer overflow.

C'est bien vrai ca.

Mais au fait, si tu tiens cet avis, pourquoi donc est-ce que tu ne dis pas la meme chose sur les innombrables journaux/articles sur MS & Windows ?

Ils sont pas libres non plus hein...

Si demain j'uploade un malware libre sur le marketplace, avec lien sur les sources ou bien entendu le cote malware est un peu cache, tu crois qu'il va se passer combien de temps avant que quelqu'un remarque le probleme ?

Cette histoire de disponibilite du code source qui empecherait ce genre de probleme est un gros gag, ca n'empeche rien du tout, notamment parce que quasiment personne ne lit les sources, encore moins attentivement, et definitevement pas rapidement.

Le probleme se verra plus rapidement par analyse du comportement du soft que par analyse du code source.

De nouveau, tu inverses.

Le constructeur il passera cet accord le jour ou il estimera qu'il y a un marche, qu'il va pouvoir vendre des machines grace a Ubuntu (ou autre distrib)

Ce n'est pas grace au constructeur que Linux va se vendre, mais grace a ses qualites qui font que le constructeur voudra l'installer.

Si tu lis le post que j'ai mis juste un peu plus haut :

Et vient pas me dire qu'Ubuntu a pas besoin de faire les tests car le mainteneur du soft les a fait avant, Ubuntu patche les softs a sa maniere, et a des libs de versions differentes que les mainteneurs probablement, tout comme la plupart des distribs.

1) C'est une offre illégale. Les licences des produits MS vendus depuis 2000 ne peuvent être transférées que si l'emballage est scellé*. Or je vois bien la boite du CD ouverte.
Que ce soit la politique de retrosoftware n'en fait pas une loi hein. T'as tout a fait le droit de revendre une licence non-OEM meme si tu l'as utilise precedemment.

2) Qui me dit que ce CD est encore lisible, et quel est son MD5 ? Un téléchargement sur un site de commerce réputé et les sommes de contrôle sur les serveurs du développeur initial, c'est quand même la bonne pratique. C'est vérifié systématiquement pour tous les paquets de ma distribution (RMD160 SHA1 SHA256 taille), même pour les paquets de Microsoft. Et qu'est ce qui te dit que le package sur sont site est pas corrompu ou autre ?

Tu te contentes de chercher la petite bete maintenant.

Dans 20 autres années, ou bien 30, ces CD d'occasion seront tous au musée et les 486 ne démarreront plus (disque dur enrayé). Ce qu'il faut, c'est un magasin numérique.

Ca serait ideal oui, mais pas necessaire.

Oh mais ce n'est certainement pas impossible.

Le truc par contre, c'est que tes Acer et Asus, ils ne s'y mettront que lorsque Linux aura atteint une qualite d'utilisation qui le fera vendre en masse.

Faut pas inverser, Linux ne va pas se vendre en masse parce que'Acer et Asus l'installent, c'est Acer et Asus qui le mettront quand il pourra se vendre en masse.

Ce monopole de MS, un jour il va s'arreter, une boite va venir et faire quelque chose qui changera la donne. Mais de ce que je vois des distribs Linux, je me dis que cela ne viendra pas d'elles.

http://www.priceminister.com/offer/buy/1241583/Ms-Works-Version-6-0-Support-Cd-Win-Logiciel-Pc.html?t=1544040&zanpid=1477773997931239424

Si tu cherches un peu tu trouves, c'est comme tout.

Je me contente de regarder les parts de marche rapportees, et je vois une stagnation sur le desktop et sur le serveur les 2 (Linux & Windows) bouffent des parts aux vieux Unix.

Tu veux acheter Works ?

http://www.bing.com/shopping/works-suite-2004-full-product/p/D6FEDA9D1F142294E387?q=microsoft+works&FORM=ENCA6

Voila, Works 2004

J'ai mis exactement 5 secondes : j'ai cherche "microsoft works" dans Bing Shopping

Oui, mauvaise foi. A l'utilisation, les distribs Linux sont aussi stables et fiables que n'importe quel windows récent. D'ailleurs, vu ce que tu raccontes à propos des test je ne comprends pas pourquoi il a fallu attendre si longtemps pour avoir de la stabilité et de la fiabilité sous Windows. Ce qui prouve que les tests massifs sont certes utilies, mais ne font pas tout, surtout dans un environnement aussi hétérogène que le monde PC.

Non ca c'est ce que tu crois en voyant ton petit monde ou tu fais les memes etapes que l'enorme majorite des gens, et ces etapes la evidemment elles marchent, parce que c'est les memes que les beta testeurs font.

Allez, un petit lien pour la route : https://wiki.ubuntu.com/MozillaTeam/QA

Voila ce qu'Ubuntu fait pour tester que la suite Mozilla fonctionne correctement, c'est une franche rigolade, ca ne couvre meme pas 1% de ce que Mozilla fait.

Ca n'a effectivement rien a voir avec le resultat a l'execution c'est evident, mais la vitesse de compilation, quand t'es developpeur, ca peut compter.
Il y a quand meme plein de softs pour lesquels la vitesse n'est pas primordiale car le referentiel est la reaction humaine, ils passent plus de temps a attendre que l'utilisateur fasse quelque chose qu'a bosser, et il faut reconnaitre que le managed code a bien progresse. Quand tu penses que Exchange est quasiment totalement en C#, tu te dis que ca a atteint un resultat assez correct. (Et le 1er qui essaie de comparer Exchange a un serveur smtp basique peut retourner dans son coin etudier les centaines de choses qu'Exchange fait et qu'un serveur smtp basique ne fait pas)

Fortement biaise ? Non, quand t'as un echantillon meme faible en proportion, mais sur un ensemble de 1 milliard, c'est sacrement representatif quand meme.

Mais vos ressources ne sont pas là pour améliorer le quotidien de millions de gens! Si c'était le cas, vous n'essayerez pas d'imposer vos normes etc... mais essayerez d'améliorer l'existant!

Justement, le fait que Linux malgre tous ses efforts n'arrive toujours pas a nous rattraper prouve qu'on le fait plutot bien, ou alors que Linux est sacrement pourri, je te laisse choisir.