pasBill pasGates a écrit 16203 commentaires

Legere correction, on vend Forefront, mais c'est une suite securite integree. Microsoft Security Essentials fait la partie anti-virus, et il est gratuit.

C'est le problème, si MS vend des service pour des failles existantes, il a tout intérêt à laisser des faille pour continuer à vendre ce service. De plus, il peut vendre un meilleur anti-virus que les autres en étant au courant des failles et ne résolvant le problème uniquement dans l'anti-virus.

MS ne vend pas d'anti-virus, il est gratuit, bref ta supposition perd tout son sens. Et je te mets au defi de me montrer des failles serieuses dans l'OS qu'on n'a pas patche.

Ca marche out of the box, mais t'as quoi niveau features en comparaison ?

AmigaOS 1.2 tourne dans 512Ko de RAM sans reconfiguration aussi...

Le 2eme avec 160Mo, c'etait clairement une experience pour la gloire et pas pour utilisation normale.

Le 1er par contre, ca fonctionne et c'est utilisable. Et quand tu vois son task manager, tu vois qu'il peut faire mieux: il a le search indexer qui toune notamment et certainement d'autres services non essentiels.

C'est surtout que vendre un abonnement pour un service qui est là pour compenser les faiblesses de l'OS, ça n'est pas super pour la correction de faille de sécurité.

Quelles faiblesses de l'OS ? Tu m'en cites une que Linux n'aurait pas ?

Un anti-virus ca a 2 utilites : a) Il empeche qu'un utilisateur ne sachant pas ce qu'il fait fasse une connerie (l'AV bloque un executable connu pour etre dangereux) b) Il empeche une infection par une faille qui n'a pas encore ete patchee

a) et b) sont tout aussi presents sous Linux que sous Windows

(Et pour faire rire tout le monde, je tiens a partager cette perle que j'ai trouvee aujourd'hui : http://androidcommunity.com/forums/69987-post10.html )

http://mintywhite.com/windows-7/7news/update-windows-seven-7-512mb-ram-under-normal-use/

Windows 7 qui tourne bien dans 512Mo de RAM, et c'est pas moi qui le dit...

http://www.youtube.com/watch?v=i2FASDQs-jg

Un gars qui s'est amuse a faire demarrer Windows 7 sur un Pentium 2 a 350Mhz avec 160Mo de RAM...

M'est avis que tu melanges son utilisation de buffering avec sa vraie consommation de RAM.

Si tu as de la RAM, il va l'utiliser comme buffer disque, si tu n'en as pas en trop, il fera avec quand meme.

Bien evidemment, mais tu crois que cela demande quoi de creer une identite bidon pour un gars qui se fait chier en hiver a Moscou ? Pas grand-chose.

Et bonne chance pour le choper a coup de batte de base-ball, parce qu'il a probablement des copains qui jouent de la kalachnikov, c'est du crime organise en bonne partie ces malwares.

T'as visiblement rate le journal d'Albert d'il y a quelque jours, tu travailles trop.

Perso je pencherais plutot pour AmigaOS, mais j'ai pas envie de recreer une guerre entre Amigaistes et Ataristes frustres d'avoir un OS moins bon

Il ne peut pas etre sur, c'est techniquement impossible.

Mais il peut mettre une barriere assez haute pour empecher la grosse majorite des malwares, c'est deja bien plus que ne rien faire.

C'est le genre de test qui devrait faire partie de la suite de test d'OpenSSL.

Si ca se trouve le projet OpenSSL a ce test, mais clairement Debian ne faisait pas tourner ces tests si ils existent, et ca montre justement ce que je disais dans un autre journal: sous Linux les testeurs sont les utilisateurs.

Et pour un soft dont le job est justement un acces reseau a ce serveur donne tu vas faire quoi ? Lire chaque byte qui passe sur le reseau pendant des mois pour etre sur que rien ne se passe ?

Quand au crash, justement, le but est que cela ne crashera pas, cela executera du code venant du serveur par contre, et tu n'y verras donc rien du tout.

Et ca en dit justement long sur les procedures de test...

C'est pas une hypothese, c'est la realite, et c'est bien le probleme.

Il suffit de regarder le nombre de failles que les distribs corrigent, voir depuis combien de temps ces failles etaient la, et voir comment elles ont ete trouvees, pour se rendre compte que la grosse majorite est trouvee par fuzzing, et pas par des contributeurs ayant revu le code peu apres qu'il ait ete ecrit.

Si moi, qui l'ai inseree dans mon code volontairement, l'exploitera, c'est ca qui en fait un malware.

Quelle chance supplementaire ? Sachant que personne ne trouvera la faille, comme l'experience de tant d'annees a montre.

Ta mailing-list elle va faire quoi ? Elle va refuser mon soft ? Donc elle a des restrictions sur les softs legitimes, car la faille est le seul element qui fait que mon soft est un malware plutot qu'un soft legitime, et ils ne savent pas que la faille est la.

Elle va accepter mon soft ? Donc c'est fini, j'ai gagne.

Mais qui te parles de cacher l'appel ? Je te mets l'entree pour mon site par defaut, l'enorme majorite des gens le laissera ou ne saura pas l'enlever.
Sinon, qui te dit que mon soft est un lecteur RSS ou multimedia ? Il y a plein de cas ou le soft va aller chercher differents types d'infos, acceder a une gallerie de fichiers, etc...

Tu veux me faire croire qu'il n'y a aucun soft dans les depots des distribs qui par defaut accede a un serveur externe ? On parie ?

Meme pour Windows, il est meilleur que d'autres systemes pour certaines choses, moins bon pour d'autres.

L'OS miraculeux qui est meilleur a tous les plans, ca n'existe pas

Des softs qui accedent a des serveurs externes il y en a plein, je te parles pas d'une update de code hein, mais par exemple des extensions, sons, flux RSS ou autres. Ca manque pas les raisons d'acceder a un serveur externe hein.

Et c'est tout ce dont il y a besoin pour qu'une faille que j'ai laisse dans mon code libre soit declenchee selon mes envies, et que mon malware soit execute sur ta machine.

Non, je sous-entends que l'acces au code source des distribs et autres n'amene rien niveau securite en pratique.

Ca ne veut pas dire que le code source ouvert est pire a cause de ca hein, rien n'empeche d'utiliser les memes techniques de pen testing et analyse dynamique ou autre sur du code libre.

Je parles purement du mythe "code source dispo = meilleure securite"

J'ecris un soft libre, qui telecharge des updates de differents types depuis mon serveur a moi (images ou autres conneries au hasard) et fait un traitement dessus quel qu'il soit.

Le soft a une chance d'etre dans le depot de la distrib ?

Si oui, alors je peux aisement te poser un gros malware dedans a travers une faille dans la communication avec mon serveur, et je peux te garantir a 99.9% que personne le verra (suffit de voir le nombre de failles de ce type decouvertes dans les distribs qui etaient la depuis des annees)

Si non, ben ton depot ne remplit pas son boulot, une application legitime n'y est pas acceptee (en imaginant que je fais cette appli sans malware)

Allez tu as raison, winwin c'est le mieux du monde de l'univers et un code fermé c'est plus sur qu'on code ouvert.

Ah si seulement... Le probleme est que j'ai jamais dit cela...

Qu'un etudiant ou autre developpeur aleatoire le lise, c'est tres tres legerement mieux que ne pas le lire.

J'ai une bonne petee de cas ou a moins d'etre un gars qui s'y connait en securite, qui comprend tres bien comment le composant fonctionne, et etre en train de lire le code specifiquement pour y trouver des failles, tu passeras par dessus et n'y verra rien.

Et une faille, c'est l'equivalent d'un malware hein. Suffit que ton soft se connecte au serveur pour X raison, et tu mets la faille dans la communication/parsing/...

Lire le code n'est pas suffisant.

Tu as les connaissances et l'experience pour deceler la plupart des types de faille ? Non ? Donc un malware decent te passera sous le nez.