En europe notamment le reverse engineering est permis pour plusieurs raisons. Aux USA il y a tout un bordel sur le "fair use" : ce qu'il est permis de faire selon la loi, peut importe ce que la licence dit.
Il faut voir la chose dans sa globalite hein, le libre cela ne s'arrete pas a OpenBSD, Debian et Redhat.
Il y a des dizaines de milliers de projets libre, c'est cet ensemble qu'il faut voir
Au contraire, les gens qui posent candidature chez Microsoft ne sont pas sélectionnés sur le critère de compatibilité avec l'état d'esprit de vouloir communiquer le plus possible et publier ouvertement le plus possible. Or si les gens ne sont pas sélectionnés sur ce critère, il est probable qu'un nombre non négligeable aura d'autres priorité.
Publier ouvertement non, etre honnete et strict au niveau de l'ingeniere par contre certainement, sans oublier qu'au final on a tous notre fierte en tant qu'ingenieurs, de la meme maniere que les devs qui font du libre.
Croire que juste parce que tu fais du proprio alors tu passes tous les trucs sous le tapis est completement faux et legerement insultant hein...
Desole mais j'ai jamais vu personne creer un soft parce qu'il avait envie de faire de la concurrence, d'habitude c'est pour resoudre un probleme ou amener quelque chose de nouveau.
Au contraire, il y a eu la backdoir introduite dans le noyau Linux a été détectée en un jour à peine ! Pourtant la faille est très difficile à remarquer, même pour un programmeur C entrainé.
Faut pas deconner quand meme, le code etait du genre :
if (blabla->uid = 0)
{
}
C'est un bug evident, et il n'a pas ete trouve par revue de code, mais du fait qu'il y avait une difference entre CVS.
Ahem, ça contredit complètement que tu racontes pasBill pasGates.
Du tout non, ca montre simplement que :
a) Tout le monde est capable de trouver une modification non attendue au code (devine quoi, si quelqu'un change mon composant ici, au prochain sync je le verrai a coup sur)
b) Tout le monde est capable de cacher des backdoors, meme le proprio
Ca aide en theorie, le probleme est quand la pratique est differente de la theorie.
Insere une backdoor dans ton code (de maniere discrete donc, pas avec un gros BACKDOOR ecrit au dessus), regarde combien de temps cela prend avant que quelqu'un s'en rende compte.
Tu as vu ou "on ext mieux parce qu'on est majoritaire" ? Ici je dis qu'on est plus ausculte parce qu'on est majoritaire, je vois pas en quoi c'est "mieux"
Le cacher ? Il est ouvert a plein de gens le code, si t'as 1500 licences tu peux le voir.
Justifier la sécurité par la revue de code d'autrui et dans le même temps en faire des délinquants.
J'ai justifie ca par la revue de code d'autrui par desassemblage ? Non j'ai dit que cela arrive.
On a des milliers et des milliers de gens dans et hors de MS qui ont permission de lire le code qui le lisent aussi, notamment une grande partie des gouvernements de cette planete.
Bof. Comme tu as constaté dans cette affaire, quand l'informateur envoie un mail à un chef de projet qui se trouve être une figure du libre, il se produit le suivant : « full-disclosure – we believe in it » ; ça fait partie du mode de pensée de ces gens.
Par comparaison, si l'informateur envoyait le mail à un chef de projet qui est un employé d'une boite proprio, cette personne a le choix d'ignorer le problème, ou de mentir à son informateur en disant qu'ils regardent attentivement, puis d'étouffer l'affaire
Ha, dans les 2 cas la personne qui est alertee a le choix d'etouffer ou pas la chose. Dans les 2 cas la personne qui alerte a le choix d'alerter d'autres personnes parties au projet ou pas.
C'est illegal selon ce que tu veux faire avec et ou tu vis hein...
Quand a ton scenario, ca fait plus de dix ans qu'on nous rapporte de temps en temps des failles comme ca, j'ai encore vu personne aller en prison pour ca, au contraire ils finissent tous avec un acknowledgement dans le bulletin ce qui aide leur carriere.
Oh c'est plus dur oui, mais dans notre cas c'est fortement compense par le fait qu'on est ultra-majoritaire, l'attrait est enorme vu notres presence partout.
Faut voir ce que t'entends par repandues hein... Dans le monde des baies de disques oui, en nombre absolu c'est absolument minuscule compare aux OS traditionels.
Oh ne t'inquietes pas, il y a plein de gens qui auditent la sortie desassemblee de notre code, ils le font pour plusieurs raisons :
a) Se faire de l'argent avec des societes genre TippingPoint
b) Se faire de la pub car ils sont consultants securite
c) Ils bossent au KGB/NSA/Chinois/... et ont un boss qui veut savoir ce que Mme Clinton a fait au lit avec Bill (c'est a dire rien)
d) Ils bossent pour la mafia ou autres criminels
e) Rarement, ils font ca pour se marrer
Ben je vois mal de quoi tu vas les accuser, la licence du soft dit comme toutes les licences soft que t'utilises le truc a tes risques et perils apres tout...
La theorie : C'est plus sur car tout un chacun peut relire le code et trouver des failles
La pratique : Des failles ont ete (si c'est avere) inserees dans le code il y a 10 ans, et en 10 ans personne n'a rien vu
Bref, on va dire que la theorie est tres tres loin de la pratique hein. Ce qui est possible ne vaut rien si cela n'est jamais applique et prouve.
Et on ne va pas me dire que c'etait un bout de code anodin, on parle d'IPSEC, un composant de securite, il y a pas grand chose de plus important a auditer qu'un composant de ce type dans un OS.
Tout a fait, et force est de constater qu'en 10 ans (si c'est avere) personne n'a rien vu, ou personne n'a regarde.
Quand a une histoire de doute, c'est pas tres important au final que le code soit ouvert ou pas, quand t'as des jouets genre IDA Pro, le code binaire desassemble devient incroyablement facile a lire.
Tant il est vrai que si le FBI avait réussi à insérer une backdoor dans Windows, elle aurait été détectée instantanément et immédiatement corrigée... ou alors elle y est encore et aucune fin de NDA n'y changera quoi que ce soit?
(et oui, le FUD, ça peut se faire dans tous les sens...)
Ben ca aurait ete la meme chose, au final ici cela n'a ete decouvert que parce qu'une des personnes ayant participe a decide de parler.
Ici, il y a au moins une bonne chose à retenir: Theo de Raadt, malgré tout ce qu'on peut dire sur son caractère, continue à jouer la carte de l'ouverture et informe publiquement qu'il y a un souci potentiel.
C'est très respectable.
Tout a fait
Microsoft en aurait-il fait autant ou aurait-on vu passer un patch corrigeant plusieurs vulnérabilités dont certaines non mentionnées?
Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change (c'est la raison pour laquelle on essaie de trouver les variantes de la faille originelle avant de sortir le patch, sinon les gens voient ce qui s'est passe, et vont a la peche dans la zone alentour), bref, cacher un changement dans un patch est chose impossible.
Bref, le "mythe", comme tu dis, ce n'est pas que le code est sûr parce qu'il est ouvert, c'est il est plus sûr parce qu'il est ouvert. Un petit mot qui change tout!
Soyons franc, je suis un geek, la securite est une de mes passions.
Ton cadeau est, meme pour moi, pourri...
C'est clairement un truc ou TOI mets sur les autres ce que tu penses, plutot que voir du point de vue des autres ce qu'ils veulent. Je connais pas ta famille et tes amis, mais je doutes que ce soit la chose dont ils aient reve pour Noel...
Ca changerait quoi ? Si tu n'y trouves pas ce que tu veux y trouver tu continueras quand meme a trouver des excuses pour accuser MS, bref pas la peine de prendre 20 ans de prison, des accusations de viol et un DDoS.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 2.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 0.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 2.
Il y a des dizaines de milliers de projets libre, c'est cet ensemble qu'il faut voir
Au contraire, les gens qui posent candidature chez Microsoft ne sont pas sélectionnés sur le critère de compatibilité avec l'état d'esprit de vouloir communiquer le plus possible et publier ouvertement le plus possible. Or si les gens ne sont pas sélectionnés sur ce critère, il est probable qu'un nombre non négligeable aura d'autres priorité.
Publier ouvertement non, etre honnete et strict au niveau de l'ingeniere par contre certainement, sans oublier qu'au final on a tous notre fierte en tant qu'ingenieurs, de la meme maniere que les devs qui font du libre.
Croire que juste parce que tu fais du proprio alors tu passes tous les trucs sous le tapis est completement faux et legerement insultant hein...
[^] # Re: Skype...
Posté par pasBill pasGates . En réponse au journal Pourquoi n'existe-il pas de Skype libre ?. Évalué à 5.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 1.
Faut pas deconner quand meme, le code etait du genre :
if (blabla->uid = 0)
{
}
C'est un bug evident, et il n'a pas ete trouve par revue de code, mais du fait qu'il y avait une difference entre CVS.
Ahem, ça contredit complètement que tu racontes pasBill pasGates.
Du tout non, ca montre simplement que :
a) Tout le monde est capable de trouver une modification non attendue au code (devine quoi, si quelqu'un change mon composant ici, au prochain sync je le verrai a coup sur)
b) Tout le monde est capable de cacher des backdoors, meme le proprio
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 1.
Insere une backdoor dans ton code (de maniere discrete donc, pas avec un gros BACKDOOR ecrit au dessus), regarde combien de temps cela prend avant que quelqu'un s'en rende compte.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 1.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 1.
Justifier la sécurité par la revue de code d'autrui et dans le même temps en faire des délinquants.
J'ai justifie ca par la revue de code d'autrui par desassemblage ? Non j'ai dit que cela arrive.
On a des milliers et des milliers de gens dans et hors de MS qui ont permission de lire le code qui le lisent aussi, notamment une grande partie des gouvernements de cette planete.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 1.
Par comparaison, si l'informateur envoyait le mail à un chef de projet qui est un employé d'une boite proprio, cette personne a le choix d'ignorer le problème, ou de mentir à son informateur en disant qu'ils regardent attentivement, puis d'étouffer l'affaire
Ha, dans les 2 cas la personne qui est alertee a le choix d'etouffer ou pas la chose. Dans les 2 cas la personne qui alerte a le choix d'alerter d'autres personnes parties au projet ou pas.
Il n'y a aucune difference la dessus
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -1.
Quand a ton scenario, ca fait plus de dix ans qu'on nous rapporte de temps en temps des failles comme ca, j'ai encore vu personne aller en prison pour ca, au contraire ils finissent tous avec un acknowledgement dans le bulletin ce qui aide leur carriere.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 1.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -1.
a) Se faire de l'argent avec des societes genre TippingPoint
b) Se faire de la pub car ils sont consultants securite
c) Ils bossent au KGB/NSA/Chinois/... et ont un boss qui veut savoir ce que Mme Clinton a fait au lit avec Bill (c'est a dire rien)
d) Ils bossent pour la mafia ou autres criminels
e) Rarement, ils font ca pour se marrer
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 6.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -1.
Tu paries que cela est possible dans un soft libre obscur ?
[^] # Re: Légalité du procédé?
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -1.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 4.
La pratique : Des failles ont ete (si c'est avere) inserees dans le code il y a 10 ans, et en 10 ans personne n'a rien vu
Bref, on va dire que la theorie est tres tres loin de la pratique hein. Ce qui est possible ne vaut rien si cela n'est jamais applique et prouve.
Et on ne va pas me dire que c'etait un bout de code anodin, on parle d'IPSEC, un composant de securite, il y a pas grand chose de plus important a auditer qu'un composant de ce type dans un OS.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -3.
Quand a une histoire de doute, c'est pas tres important au final que le code soit ouvert ou pas, quand t'as des jouets genre IDA Pro, le code binaire desassemble devient incroyablement facile a lire.
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -8.
(et oui, le FUD, ça peut se faire dans tous les sens...)
Ben ca aurait ete la meme chose, au final ici cela n'a ete decouvert que parce qu'une des personnes ayant participe a decide de parler.
Ici, il y a au moins une bonne chose à retenir: Theo de Raadt, malgré tout ce qu'on peut dire sur son caractère, continue à jouer la carte de l'ouverture et informe publiquement qu'il y a un souci potentiel.
C'est très respectable.
Tout a fait
Microsoft en aurait-il fait autant ou aurait-on vu passer un patch corrigeant plusieurs vulnérabilités dont certaines non mentionnées?
Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change (c'est la raison pour laquelle on essaie de trouver les variantes de la faille originelle avant de sortir le patch, sinon les gens voient ce qui s'est passe, et vont a la peche dans la zone alentour), bref, cacher un changement dans un patch est chose impossible.
Bref, le "mythe", comme tu dis, ce n'est pas que le code est sûr parce qu'il est ouvert, c'est il est plus sûr parce qu'il est ouvert. Un petit mot qui change tout!
Tout a fait, mais ca reste un mythe.
# Dites moi...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à 10.
Sur ce, je -->[]
[^] # Re: Les chinois du FBI...
Posté par pasBill pasGates . En réponse au journal Backdoor dans OpenBSD ?. Évalué à -10.
Mais bon, il faut encore attendre confirmation, pour l'instant ce n'est qu'un e-mail.
[^] # Re: Pour rappel ...
Posté par pasBill pasGates . En réponse au journal Noël et llvm. Évalué à 3.
Ton cadeau est, meme pour moi, pourri...
C'est clairement un truc ou TOI mets sur les autres ce que tu penses, plutot que voir du point de vue des autres ce qu'ils veulent. Je connais pas ta famille et tes amis, mais je doutes que ce soit la chose dont ils aient reve pour Noel...
[^] # Re: Chrome OS
Posté par pasBill pasGates . En réponse à la dépêche Quoi de neuf chez Google ?. Évalué à 3.
[^] # Re: .
Posté par pasBill pasGates . En réponse au journal LDLC dévoile le prix des logiciels inclus dans un ordinateur. Évalué à 1.