pasBill pasGates a écrit 16060 commentaires

Il faut voir la chose dans sa globalite hein, le libre cela ne s'arrete pas a OpenBSD, Debian et Redhat.

Il y a des dizaines de milliers de projets libre, c'est cet ensemble qu'il faut voir

Au contraire, les gens qui posent candidature chez Microsoft ne sont pas sélectionnés sur le critère de compatibilité avec l'état d'esprit de vouloir communiquer le plus possible et publier ouvertement le plus possible. Or si les gens ne sont pas sélectionnés sur ce critère, il est probable qu'un nombre non négligeable aura d'autres priorité.

Publier ouvertement non, etre honnete et strict au niveau de l'ingeniere par contre certainement, sans oublier qu'au final on a tous notre fierte en tant qu'ingenieurs, de la meme maniere que les devs qui font du libre.
Croire que juste parce que tu fais du proprio alors tu passes tous les trucs sous le tapis est completement faux et legerement insultant hein...

Desole mais j'ai jamais vu personne creer un soft parce qu'il avait envie de faire de la concurrence, d'habitude c'est pour resoudre un probleme ou amener quelque chose de nouveau.

Au contraire, il y a eu la backdoir introduite dans le noyau Linux a été détectée en un jour à peine ! Pourtant la faille est très difficile à remarquer, même pour un programmeur C entrainé.

Faut pas deconner quand meme, le code etait du genre :

if (blabla->uid = 0)
{
}

C'est un bug evident, et il n'a pas ete trouve par revue de code, mais du fait qu'il y avait une difference entre CVS.

Ahem, ça contredit complètement que tu racontes pasBill pasGates.

Du tout non, ca montre simplement que :
a) Tout le monde est capable de trouver une modification non attendue au code (devine quoi, si quelqu'un change mon composant ici, au prochain sync je le verrai a coup sur)
b) Tout le monde est capable de cacher des backdoors, meme le proprio

Ca aide en theorie, le probleme est quand la pratique est differente de la theorie.

Insere une backdoor dans ton code (de maniere discrete donc, pas avec un gros BACKDOOR ecrit au dessus), regarde combien de temps cela prend avant que quelqu'un s'en rende compte.

Tu as vu ou "on ext mieux parce qu'on est majoritaire" ? Ici je dis qu'on est plus ausculte parce qu'on est majoritaire, je vois pas en quoi c'est "mieux"

Le cacher ? Il est ouvert a plein de gens le code, si t'as 1500 licences tu peux le voir.

Justifier la sécurité par la revue de code d'autrui et dans le même temps en faire des délinquants.

J'ai justifie ca par la revue de code d'autrui par desassemblage ? Non j'ai dit que cela arrive.

On a des milliers et des milliers de gens dans et hors de MS qui ont permission de lire le code qui le lisent aussi, notamment une grande partie des gouvernements de cette planete.

Bof. Comme tu as constaté dans cette affaire, quand l'informateur envoie un mail à un chef de projet qui se trouve être une figure du libre, il se produit le suivant : « full-disclosure – we believe in it » ; ça fait partie du mode de pensée de ces gens.

Par comparaison, si l'informateur envoyait le mail à un chef de projet qui est un employé d'une boite proprio, cette personne a le choix d'ignorer le problème, ou de mentir à son informateur en disant qu'ils regardent attentivement, puis d'étouffer l'affaire

Ha, dans les 2 cas la personne qui est alertee a le choix d'etouffer ou pas la chose. Dans les 2 cas la personne qui alerte a le choix d'alerter d'autres personnes parties au projet ou pas.

Il n'y a aucune difference la dessus

C'est illegal selon ce que tu veux faire avec et ou tu vis hein...

Quand a ton scenario, ca fait plus de dix ans qu'on nous rapporte de temps en temps des failles comme ca, j'ai encore vu personne aller en prison pour ca, au contraire ils finissent tous avec un acknowledgement dans le bulletin ce qui aide leur carriere.

Oh c'est plus dur oui, mais dans notre cas c'est fortement compense par le fait qu'on est ultra-majoritaire, l'attrait est enorme vu notres presence partout.

Faut voir ce que t'entends par repandues hein... Dans le monde des baies de disques oui, en nombre absolu c'est absolument minuscule compare aux OS traditionels.

Tout a fait, ca ne change rien au fait que c'etait un truc obscur, il aurait ete libre, personne n'y aurait jete un oeil.

Oh ne t'inquietes pas, il y a plein de gens qui auditent la sortie desassemblee de notre code, ils le font pour plusieurs raisons :

a) Se faire de l'argent avec des societes genre TippingPoint
b) Se faire de la pub car ils sont consultants securite
c) Ils bossent au KGB/NSA/Chinois/... et ont un boss qui veut savoir ce que Mme Clinton a fait au lit avec Bill (c'est a dire rien)
d) Ils bossent pour la mafia ou autres criminels
e) Rarement, ils font ca pour se marrer

Elle est pas tres pratique ta theorie

Est-ce que c'etait dans un OS largement distribue ? Non, c'etait dans une appliance obscure.

Tu paries que cela est possible dans un soft libre obscur ?

Ben je vois mal de quoi tu vas les accuser, la licence du soft dit comme toutes les licences soft que t'utilises le truc a tes risques et perils apres tout...

La theorie : C'est plus sur car tout un chacun peut relire le code et trouver des failles

La pratique : Des failles ont ete (si c'est avere) inserees dans le code il y a 10 ans, et en 10 ans personne n'a rien vu

Bref, on va dire que la theorie est tres tres loin de la pratique hein. Ce qui est possible ne vaut rien si cela n'est jamais applique et prouve.

Et on ne va pas me dire que c'etait un bout de code anodin, on parle d'IPSEC, un composant de securite, il y a pas grand chose de plus important a auditer qu'un composant de ce type dans un OS.

Tout a fait, et force est de constater qu'en 10 ans (si c'est avere) personne n'a rien vu, ou personne n'a regarde.

Quand a une histoire de doute, c'est pas tres important au final que le code soit ouvert ou pas, quand t'as des jouets genre IDA Pro, le code binaire desassemble devient incroyablement facile a lire.

Tant il est vrai que si le FBI avait réussi à insérer une backdoor dans Windows, elle aurait été détectée instantanément et immédiatement corrigée... ou alors elle y est encore et aucune fin de NDA n'y changera quoi que ce soit?
(et oui, le FUD, ça peut se faire dans tous les sens...)

Ben ca aurait ete la meme chose, au final ici cela n'a ete decouvert que parce qu'une des personnes ayant participe a decide de parler.

Ici, il y a au moins une bonne chose à retenir: Theo de Raadt, malgré tout ce qu'on peut dire sur son caractère, continue à jouer la carte de l'ouverture et informe publiquement qu'il y a un souci potentiel.
C'est très respectable.

Tout a fait

Microsoft en aurait-il fait autant ou aurait-on vu passer un patch corrigeant plusieurs vulnérabilités dont certaines non mentionnées?

Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change (c'est la raison pour laquelle on essaie de trouver les variantes de la faille originelle avant de sortir le patch, sinon les gens voient ce qui s'est passe, et vont a la peche dans la zone alentour), bref, cacher un changement dans un patch est chose impossible.

Bref, le "mythe", comme tu dis, ce n'est pas que le code est sûr parce qu'il est ouvert, c'est il est plus sûr parce qu'il est ouvert. Un petit mot qui change tout!

Tout a fait, mais ca reste un mythe.

Personne aurait vu un truc nomme FBI_KEY dans le code d'OpenBSD par hasard ?

Sur ce, je -->[]

Si ca se confirme, ca va surtout remettre enormement en cause ce gros mythe pourri disant qu'avoir le code ouvert donne un code plus sur...

Mais bon, il faut encore attendre confirmation, pour l'instant ce n'est qu'un e-mail.

Soyons franc, je suis un geek, la securite est une de mes passions.

Ton cadeau est, meme pour moi, pourri...

C'est clairement un truc ou TOI mets sur les autres ce que tu penses, plutot que voir du point de vue des autres ce qu'ils veulent. Je connais pas ta famille et tes amis, mais je doutes que ce soit la chose dont ils aient reve pour Noel...

AmigaOS le faisait il y a 20 ans

Ca changerait quoi ? Si tu n'y trouves pas ce que tu veux y trouver tu continueras quand meme a trouver des excuses pour accuser MS, bref pas la peine de prendre 20 ans de prison, des accusations de viol et un DDoS.

Du vent, rien, absolument rien, ne montre que ms force les constructeurs a livrer son OS. Tu sais tres bien que si ca avait ete le cas, la commission europeenne ne se serait pas genee pour taper sur MS, comme elle l'a fait par le passe.

Tout ce que tu as se limite a des rumeurs, du vent et absolument RIEN de concret.

a) Tu es etonne qu'une societe veuille son soft dans toutes les chaumieres ? Tu es ne de la derniere pluie ? Sans parler qu'il n'y a rien d'illegal a ca
b) Ton lien sur la condamnation d'Acer prouve exactement ce que je dis: c'est du aux constructeurs, pas a MS

Bref, tu n'amenes absolument rien montrant que MS impose Windows sur les PCs des constructeurs.