Quelle chance supplementaire ? Sachant que personne ne trouvera la faille, comme l'experience de tant d'annees a montre.
Ta mailing-list elle va faire quoi ?
Elle va refuser mon soft ? Donc elle a des restrictions sur les softs legitimes, car la faille est le seul element qui fait que mon soft est un malware plutot qu'un soft legitime, et ils ne savent pas que la faille est la.
Elle va accepter mon soft ? Donc c'est fini, j'ai gagne.
Mais qui te parles de cacher l'appel ? Je te mets l'entree pour mon site par defaut, l'enorme majorite des gens le laissera ou ne saura pas l'enlever.
Sinon, qui te dit que mon soft est un lecteur RSS ou multimedia ? Il y a plein de cas ou le soft va aller chercher differents types d'infos, acceder a une gallerie de fichiers, etc...
Tu veux me faire croire qu'il n'y a aucun soft dans les depots des distribs qui par defaut accede a un serveur externe ? On parie ?
Des softs qui accedent a des serveurs externes il y en a plein, je te parles pas d'une update de code hein, mais par exemple des extensions, sons, flux RSS ou autres. Ca manque pas les raisons d'acceder a un serveur externe hein.
Et c'est tout ce dont il y a besoin pour qu'une faille que j'ai laisse dans mon code libre soit declenchee selon mes envies, et que mon malware soit execute sur ta machine.
Non, je sous-entends que l'acces au code source des distribs et autres n'amene rien niveau securite en pratique.
Ca ne veut pas dire que le code source ouvert est pire a cause de ca hein, rien n'empeche d'utiliser les memes techniques de pen testing et analyse dynamique ou autre sur du code libre.
Je parles purement du mythe "code source dispo = meilleure securite"
J'ecris un soft libre, qui telecharge des updates de differents types depuis mon serveur a moi (images ou autres conneries au hasard) et fait un traitement dessus quel qu'il soit.
Le soft a une chance d'etre dans le depot de la distrib ?
Si oui, alors je peux aisement te poser un gros malware dedans a travers une faille dans la communication avec mon serveur, et je peux te garantir a 99.9% que personne le verra (suffit de voir le nombre de failles de ce type decouvertes dans les distribs qui etaient la depuis des annees)
Si non, ben ton depot ne remplit pas son boulot, une application legitime n'y est pas acceptee (en imaginant que je fais cette appli sans malware)
Qu'un etudiant ou autre developpeur aleatoire le lise, c'est tres tres legerement mieux que ne pas le lire.
J'ai une bonne petee de cas ou a moins d'etre un gars qui s'y connait en securite, qui comprend tres bien comment le composant fonctionne, et etre en train de lire le code specifiquement pour y trouver des failles, tu passeras par dessus et n'y verra rien.
Et une faille, c'est l'equivalent d'un malware hein. Suffit que ton soft se connecte au serveur pour X raison, et tu mets la faille dans la communication/parsing/...
Moi je vais simplement te dire que trouver des failles ca a ete mon boulot pendant 6 ans, j'etais paye pour et malgre toute mon experience et celle de mes collegues, nombre de failles nous passaient sous le nez pour n'etre trouvees que par un fuzzer pendant le pen testing.
Alors compte combien de developpeurs ont une expertise en securite(parce qu'un non-expert, le nombre de failles qui lui passeront sous le nez est enorme), et compte combien d'entre eux vont aller relire le code de ces applications libres. Le compte est vite fait.
Oh qu'on se comprenne bien, c'est pas la faute d'Android, c'est la faute de Google qui ne signale pas clairement aux utilisateurs les dangers d'utiliser un appstore qui ne procede a aucun controle sur le contenu.
Dans ton monde parfait, le appstore que tu decris serait identique a ce qu'Apple fait (restrictions sur image de c*l et autres en moins), car de nouveau, personne n'irait relire le code de toute facon.
Ce sera un avantage le jour ou, en pratique, cela sera fait.
Les avantages theoriques ne valent absolument rien tant qu'ils ne sont pas mis en pratique.
Parce que relire le code c'est bien joli, mais si je veux te cacher un malware dans le code source et que personne le voie, je le ferai sans probleme, cacher un buffer overflow qui est mis en route par une communication avec mon serveur il n'y a rien de plus simple, et personne(= 99.99% de la population qui lit le code) ne le remarquera vu les differentes manieres de cacher cela et les connaissances requises pour detecter les cas pernicieux de buffer overflow.
Si demain j'uploade un malware libre sur le marketplace, avec lien sur les sources ou bien entendu le cote malware est un peu cache, tu crois qu'il va se passer combien de temps avant que quelqu'un remarque le probleme ?
Cette histoire de disponibilite du code source qui empecherait ce genre de probleme est un gros gag, ca n'empeche rien du tout, notamment parce que quasiment personne ne lit les sources, encore moins attentivement, et definitevement pas rapidement.
Le probleme se verra plus rapidement par analyse du comportement du soft que par analyse du code source.
Le constructeur il passera cet accord le jour ou il estimera qu'il y a un marche, qu'il va pouvoir vendre des machines grace a Ubuntu (ou autre distrib)
Ce n'est pas grace au constructeur que Linux va se vendre, mais grace a ses qualites qui font que le constructeur voudra l'installer.
Si tu lis le post que j'ai mis juste un peu plus haut :
Et vient pas me dire qu'Ubuntu a pas besoin de faire les tests car le mainteneur du soft les a fait avant, Ubuntu patche les softs a sa maniere, et a des libs de versions differentes que les mainteneurs probablement, tout comme la plupart des distribs.
1) C'est une offre illégale. Les licences des produits MS vendus depuis 2000 ne peuvent être transférées que si l'emballage est scellé*. Or je vois bien la boite du CD ouverte.
Que ce soit la politique de retrosoftware n'en fait pas une loi hein. T'as tout a fait le droit de revendre une licence non-OEM meme si tu l'as utilise precedemment.
2) Qui me dit que ce CD est encore lisible, et quel est son MD5 ? Un téléchargement sur un site de commerce réputé et les sommes de contrôle sur les serveurs du développeur initial, c'est quand même la bonne pratique. C'est vérifié systématiquement pour tous les paquets de ma distribution (RMD160 SHA1 SHA256 taille), même pour les paquets de Microsoft.
Et qu'est ce qui te dit que le package sur sont site est pas corrompu ou autre ?
Tu te contentes de chercher la petite bete maintenant.
Dans 20 autres années, ou bien 30, ces CD d'occasion seront tous au musée et les 486 ne démarreront plus (disque dur enrayé). Ce qu'il faut, c'est un magasin numérique.
Le truc par contre, c'est que tes Acer et Asus, ils ne s'y mettront que lorsque Linux aura atteint une qualite d'utilisation qui le fera vendre en masse.
Faut pas inverser, Linux ne va pas se vendre en masse parce que'Acer et Asus l'installent, c'est Acer et Asus qui le mettront quand il pourra se vendre en masse.
Ce monopole de MS, un jour il va s'arreter, une boite va venir et faire quelque chose qui changera la donne. Mais de ce que je vois des distribs Linux, je me dis que cela ne viendra pas d'elles.
Je me contente de regarder les parts de marche rapportees, et je vois une stagnation sur le desktop et sur le serveur les 2 (Linux & Windows) bouffent des parts aux vieux Unix.
Oui, mauvaise foi. A l'utilisation, les distribs Linux sont aussi stables et fiables que n'importe quel windows récent. D'ailleurs, vu ce que tu raccontes à propos des test je ne comprends pas pourquoi il a fallu attendre si longtemps pour avoir de la stabilité et de la fiabilité sous Windows. Ce qui prouve que les tests massifs sont certes utilies, mais ne font pas tout, surtout dans un environnement aussi hétérogène que le monde PC.
Non ca c'est ce que tu crois en voyant ton petit monde ou tu fais les memes etapes que l'enorme majorite des gens, et ces etapes la evidemment elles marchent, parce que c'est les memes que les beta testeurs font.
Voila ce qu'Ubuntu fait pour tester que la suite Mozilla fonctionne correctement, c'est une franche rigolade, ca ne couvre meme pas 1% de ce que Mozilla fait.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 2.
Quelle chance supplementaire ? Sachant que personne ne trouvera la faille, comme l'experience de tant d'annees a montre.
Ta mailing-list elle va faire quoi ? Elle va refuser mon soft ? Donc elle a des restrictions sur les softs legitimes, car la faille est le seul element qui fait que mon soft est un malware plutot qu'un soft legitime, et ils ne savent pas que la faille est la.
Elle va accepter mon soft ? Donc c'est fini, j'ai gagne.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 2.
Mais qui te parles de cacher l'appel ? Je te mets l'entree pour mon site par defaut, l'enorme majorite des gens le laissera ou ne saura pas l'enlever.
Sinon, qui te dit que mon soft est un lecteur RSS ou multimedia ? Il y a plein de cas ou le soft va aller chercher differents types d'infos, acceder a une gallerie de fichiers, etc...
Tu veux me faire croire qu'il n'y a aucun soft dans les depots des distribs qui par defaut accede a un serveur externe ? On parie ?
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 1.
Meme pour Windows, il est meilleur que d'autres systemes pour certaines choses, moins bon pour d'autres.
L'OS miraculeux qui est meilleur a tous les plans, ca n'existe pas
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 9.
Des softs qui accedent a des serveurs externes il y en a plein, je te parles pas d'une update de code hein, mais par exemple des extensions, sons, flux RSS ou autres. Ca manque pas les raisons d'acceder a un serveur externe hein.
Et c'est tout ce dont il y a besoin pour qu'une faille que j'ai laisse dans mon code libre soit declenchee selon mes envies, et que mon malware soit execute sur ta machine.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 3.
Non, je sous-entends que l'acces au code source des distribs et autres n'amene rien niveau securite en pratique.
Ca ne veut pas dire que le code source ouvert est pire a cause de ca hein, rien n'empeche d'utiliser les memes techniques de pen testing et analyse dynamique ou autre sur du code libre.
Je parles purement du mythe "code source dispo = meilleure securite"
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 2.
J'ecris un soft libre, qui telecharge des updates de differents types depuis mon serveur a moi (images ou autres conneries au hasard) et fait un traitement dessus quel qu'il soit.
Le soft a une chance d'etre dans le depot de la distrib ?
Si oui, alors je peux aisement te poser un gros malware dedans a travers une faille dans la communication avec mon serveur, et je peux te garantir a 99.9% que personne le verra (suffit de voir le nombre de failles de ce type decouvertes dans les distribs qui etaient la depuis des annees)
Si non, ben ton depot ne remplit pas son boulot, une application legitime n'y est pas acceptee (en imaginant que je fais cette appli sans malware)
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 1.
Allez tu as raison, winwin c'est le mieux du monde de l'univers et un code fermé c'est plus sur qu'on code ouvert.
Ah si seulement... Le probleme est que j'ai jamais dit cela...
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 0.
Qu'un etudiant ou autre developpeur aleatoire le lise, c'est tres tres legerement mieux que ne pas le lire.
J'ai une bonne petee de cas ou a moins d'etre un gars qui s'y connait en securite, qui comprend tres bien comment le composant fonctionne, et etre en train de lire le code specifiquement pour y trouver des failles, tu passeras par dessus et n'y verra rien.
Et une faille, c'est l'equivalent d'un malware hein. Suffit que ton soft se connecte au serveur pour X raison, et tu mets la faille dans la communication/parsing/...
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à -2.
Lire le code n'est pas suffisant.
Tu as les connaissances et l'experience pour deceler la plupart des types de faille ? Non ? Donc un malware decent te passera sous le nez.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 6.
Moi je vais simplement te dire que trouver des failles ca a ete mon boulot pendant 6 ans, j'etais paye pour et malgre toute mon experience et celle de mes collegues, nombre de failles nous passaient sous le nez pour n'etre trouvees que par un fuzzer pendant le pen testing.
Alors compte combien de developpeurs ont une expertise en securite(parce qu'un non-expert, le nombre de failles qui lui passeront sous le nez est enorme), et compte combien d'entre eux vont aller relire le code de ces applications libres. Le compte est vite fait.
[^] # Re: Avec windows...
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 4.
Oh qu'on se comprenne bien, c'est pas la faute d'Android, c'est la faute de Google qui ne signale pas clairement aux utilisateurs les dangers d'utiliser un appstore qui ne procede a aucun controle sur le contenu.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à -2.
Dans ton monde parfait, le appstore que tu decris serait identique a ce qu'Apple fait (restrictions sur image de c*l et autres en moins), car de nouveau, personne n'irait relire le code de toute facon.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à -2.
Ils font comme Apple
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 0.
C'est certainement pas parfait, mais ca sera toujours plus efficace au total que la possibilite theorique de lire le code source que personne ne fait.
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 3.
Ce sera un avantage le jour ou, en pratique, cela sera fait.
Les avantages theoriques ne valent absolument rien tant qu'ils ne sont pas mis en pratique.
Parce que relire le code c'est bien joli, mais si je veux te cacher un malware dans le code source et que personne le voie, je le ferai sans probleme, cacher un buffer overflow qui est mis en route par une communication avec mon serveur il n'y a rien de plus simple, et personne(= 99.99% de la population qui lit le code) ne le remarquera vu les differentes manieres de cacher cela et les connaissances requises pour detecter les cas pernicieux de buffer overflow.
[^] # Re: Quel intérêt?
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 2.
C'est bien vrai ca.
Mais au fait, si tu tiens cet avis, pourquoi donc est-ce que tu ne dis pas la meme chose sur les innombrables journaux/articles sur MS & Windows ?
Ils sont pas libres non plus hein...
[^] # Re: Solution libre
Posté par pasBill pasGates . En réponse au journal Avec Android, vous en avez plus pour votre argent. Évalué à 7.
Si demain j'uploade un malware libre sur le marketplace, avec lien sur les sources ou bien entendu le cote malware est un peu cache, tu crois qu'il va se passer combien de temps avant que quelqu'un remarque le probleme ?
Cette histoire de disponibilite du code source qui empecherait ce genre de probleme est un gros gag, ca n'empeche rien du tout, notamment parce que quasiment personne ne lit les sources, encore moins attentivement, et definitevement pas rapidement.
Le probleme se verra plus rapidement par analyse du comportement du soft que par analyse du code source.
[^] # Re: Mais comment?
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 1.
De nouveau, tu inverses.
Le constructeur il passera cet accord le jour ou il estimera qu'il y a un marche, qu'il va pouvoir vendre des machines grace a Ubuntu (ou autre distrib)
Ce n'est pas grace au constructeur que Linux va se vendre, mais grace a ses qualites qui font que le constructeur voudra l'installer.
[^] # Re: Allez, un peu de mauvaise foi pour commencer
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 1.
Si tu lis le post que j'ai mis juste un peu plus haut :
Et vient pas me dire qu'Ubuntu a pas besoin de faire les tests car le mainteneur du soft les a fait avant, Ubuntu patche les softs a sa maniere, et a des libs de versions differentes que les mainteneurs probablement, tout comme la plupart des distribs.
[^] # Re: Mais comment?
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 0.
1) C'est une offre illégale. Les licences des produits MS vendus depuis 2000 ne peuvent être transférées que si l'emballage est scellé*. Or je vois bien la boite du CD ouverte.
Que ce soit la politique de retrosoftware n'en fait pas une loi hein. T'as tout a fait le droit de revendre une licence non-OEM meme si tu l'as utilise precedemment.
2) Qui me dit que ce CD est encore lisible, et quel est son MD5 ? Un téléchargement sur un site de commerce réputé et les sommes de contrôle sur les serveurs du développeur initial, c'est quand même la bonne pratique. C'est vérifié systématiquement pour tous les paquets de ma distribution (RMD160 SHA1 SHA256 taille), même pour les paquets de Microsoft. Et qu'est ce qui te dit que le package sur sont site est pas corrompu ou autre ?
Tu te contentes de chercher la petite bete maintenant.
Dans 20 autres années, ou bien 30, ces CD d'occasion seront tous au musée et les 486 ne démarreront plus (disque dur enrayé). Ce qu'il faut, c'est un magasin numérique.
Ca serait ideal oui, mais pas necessaire.
[^] # Re: Mais comment?
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 0.
Oh mais ce n'est certainement pas impossible.
Le truc par contre, c'est que tes Acer et Asus, ils ne s'y mettront que lorsque Linux aura atteint une qualite d'utilisation qui le fera vendre en masse.
Faut pas inverser, Linux ne va pas se vendre en masse parce que'Acer et Asus l'installent, c'est Acer et Asus qui le mettront quand il pourra se vendre en masse.
Ce monopole de MS, un jour il va s'arreter, une boite va venir et faire quelque chose qui changera la donne. Mais de ce que je vois des distribs Linux, je me dis que cela ne viendra pas d'elles.
[^] # Re: Mais comment?
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 1.
http://www.priceminister.com/offer/buy/1241583/Ms-Works-Version-6-0-Support-Cd-Win-Logiciel-Pc.html?t=1544040&zanpid=1477773997931239424
Si tu cherches un peu tu trouves, c'est comme tout.
[^] # Re: Mais comment?
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à -2.
Je me contente de regarder les parts de marche rapportees, et je vois une stagnation sur le desktop et sur le serveur les 2 (Linux & Windows) bouffent des parts aux vieux Unix.
[^] # Re: Mais comment?
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 0.
Tu veux acheter Works ?
http://www.bing.com/shopping/works-suite-2004-full-product/p/D6FEDA9D1F142294E387?q=microsoft+works&FORM=ENCA6
Voila, Works 2004
J'ai mis exactement 5 secondes : j'ai cherche "microsoft works" dans Bing Shopping
[^] # Re: Allez, un peu de mauvaise foi pour commencer
Posté par pasBill pasGates . En réponse au journal Comment ça marche chez microsoft. Évalué à 1.
Oui, mauvaise foi. A l'utilisation, les distribs Linux sont aussi stables et fiables que n'importe quel windows récent. D'ailleurs, vu ce que tu raccontes à propos des test je ne comprends pas pourquoi il a fallu attendre si longtemps pour avoir de la stabilité et de la fiabilité sous Windows. Ce qui prouve que les tests massifs sont certes utilies, mais ne font pas tout, surtout dans un environnement aussi hétérogène que le monde PC.
Non ca c'est ce que tu crois en voyant ton petit monde ou tu fais les memes etapes que l'enorme majorite des gens, et ces etapes la evidemment elles marchent, parce que c'est les memes que les beta testeurs font.
Allez, un petit lien pour la route : https://wiki.ubuntu.com/MozillaTeam/QA
Voila ce qu'Ubuntu fait pour tester que la suite Mozilla fonctionne correctement, c'est une franche rigolade, ca ne couvre meme pas 1% de ce que Mozilla fait.