pasBill pasGates a écrit 16204 commentaires

Bof. Comme tu as constaté dans cette affaire, quand l'informateur envoie un mail à un chef de projet qui se trouve être une figure du libre, il se produit le suivant : « full-disclosure – we believe in it » ; ça fait partie du mode de pensée de ces gens.

Par comparaison, si l'informateur envoyait le mail à un chef de projet qui est un employé d'une boite proprio, cette personne a le choix d'ignorer le problème, ou de mentir à son informateur en disant qu'ils regardent attentivement, puis d'étouffer l'affaire

Ha, dans les 2 cas la personne qui est alertee a le choix d'etouffer ou pas la chose. Dans les 2 cas la personne qui alerte a le choix d'alerter d'autres personnes parties au projet ou pas.

Il n'y a aucune difference la dessus

C'est illegal selon ce que tu veux faire avec et ou tu vis hein...

Quand a ton scenario, ca fait plus de dix ans qu'on nous rapporte de temps en temps des failles comme ca, j'ai encore vu personne aller en prison pour ca, au contraire ils finissent tous avec un acknowledgement dans le bulletin ce qui aide leur carriere.

Oh c'est plus dur oui, mais dans notre cas c'est fortement compense par le fait qu'on est ultra-majoritaire, l'attrait est enorme vu notres presence partout.

Faut voir ce que t'entends par repandues hein... Dans le monde des baies de disques oui, en nombre absolu c'est absolument minuscule compare aux OS traditionels.

Tout a fait, ca ne change rien au fait que c'etait un truc obscur, il aurait ete libre, personne n'y aurait jete un oeil.

Oh ne t'inquietes pas, il y a plein de gens qui auditent la sortie desassemblee de notre code, ils le font pour plusieurs raisons :

a) Se faire de l'argent avec des societes genre TippingPoint
b) Se faire de la pub car ils sont consultants securite
c) Ils bossent au KGB/NSA/Chinois/... et ont un boss qui veut savoir ce que Mme Clinton a fait au lit avec Bill (c'est a dire rien)
d) Ils bossent pour la mafia ou autres criminels
e) Rarement, ils font ca pour se marrer

Elle est pas tres pratique ta theorie

Est-ce que c'etait dans un OS largement distribue ? Non, c'etait dans une appliance obscure.

Tu paries que cela est possible dans un soft libre obscur ?

Ben je vois mal de quoi tu vas les accuser, la licence du soft dit comme toutes les licences soft que t'utilises le truc a tes risques et perils apres tout...

La theorie : C'est plus sur car tout un chacun peut relire le code et trouver des failles

La pratique : Des failles ont ete (si c'est avere) inserees dans le code il y a 10 ans, et en 10 ans personne n'a rien vu

Bref, on va dire que la theorie est tres tres loin de la pratique hein. Ce qui est possible ne vaut rien si cela n'est jamais applique et prouve.

Et on ne va pas me dire que c'etait un bout de code anodin, on parle d'IPSEC, un composant de securite, il y a pas grand chose de plus important a auditer qu'un composant de ce type dans un OS.

Tout a fait, et force est de constater qu'en 10 ans (si c'est avere) personne n'a rien vu, ou personne n'a regarde.

Quand a une histoire de doute, c'est pas tres important au final que le code soit ouvert ou pas, quand t'as des jouets genre IDA Pro, le code binaire desassemble devient incroyablement facile a lire.

Tant il est vrai que si le FBI avait réussi à insérer une backdoor dans Windows, elle aurait été détectée instantanément et immédiatement corrigée... ou alors elle y est encore et aucune fin de NDA n'y changera quoi que ce soit?
(et oui, le FUD, ça peut se faire dans tous les sens...)

Ben ca aurait ete la meme chose, au final ici cela n'a ete decouvert que parce qu'une des personnes ayant participe a decide de parler.

Ici, il y a au moins une bonne chose à retenir: Theo de Raadt, malgré tout ce qu'on peut dire sur son caractère, continue à jouer la carte de l'ouverture et informe publiquement qu'il y a un souci potentiel.
C'est très respectable.

Tout a fait

Microsoft en aurait-il fait autant ou aurait-on vu passer un patch corrigeant plusieurs vulnérabilités dont certaines non mentionnées?

Ben c'est simple tu sais, quand on sort un patch, dans les 48h des centaines de gens l'ont desassemble et ont compris chaque ligne du code qui a change (c'est la raison pour laquelle on essaie de trouver les variantes de la faille originelle avant de sortir le patch, sinon les gens voient ce qui s'est passe, et vont a la peche dans la zone alentour), bref, cacher un changement dans un patch est chose impossible.

Bref, le "mythe", comme tu dis, ce n'est pas que le code est sûr parce qu'il est ouvert, c'est il est plus sûr parce qu'il est ouvert. Un petit mot qui change tout!

Tout a fait, mais ca reste un mythe.

Personne aurait vu un truc nomme FBI_KEY dans le code d'OpenBSD par hasard ?

Sur ce, je -->[]

Si ca se confirme, ca va surtout remettre enormement en cause ce gros mythe pourri disant qu'avoir le code ouvert donne un code plus sur...

Mais bon, il faut encore attendre confirmation, pour l'instant ce n'est qu'un e-mail.

Soyons franc, je suis un geek, la securite est une de mes passions.

Ton cadeau est, meme pour moi, pourri...

C'est clairement un truc ou TOI mets sur les autres ce que tu penses, plutot que voir du point de vue des autres ce qu'ils veulent. Je connais pas ta famille et tes amis, mais je doutes que ce soit la chose dont ils aient reve pour Noel...

AmigaOS le faisait il y a 20 ans

Ca changerait quoi ? Si tu n'y trouves pas ce que tu veux y trouver tu continueras quand meme a trouver des excuses pour accuser MS, bref pas la peine de prendre 20 ans de prison, des accusations de viol et un DDoS.

Du vent, rien, absolument rien, ne montre que ms force les constructeurs a livrer son OS. Tu sais tres bien que si ca avait ete le cas, la commission europeenne ne se serait pas genee pour taper sur MS, comme elle l'a fait par le passe.

Tout ce que tu as se limite a des rumeurs, du vent et absolument RIEN de concret.

a) Tu es etonne qu'une societe veuille son soft dans toutes les chaumieres ? Tu es ne de la derniere pluie ? Sans parler qu'il n'y a rien d'illegal a ca
b) Ton lien sur la condamnation d'Acer prouve exactement ce que je dis: c'est du aux constructeurs, pas a MS

Bref, tu n'amenes absolument rien montrant que MS impose Windows sur les PCs des constructeurs.

Lesquelles ? Allez, et avec des elements de preuve svp hein

Vraiment il impose ?

C'est marrant, parce que :

a) La vente liee n'est pas du fait de MS, mais des constructeurs
b) Les constructeurs ont tout loisir de choisir parmis les multiples versions de Windows
c) Il y a des milliers de configurations de PC disponibles avec les differentes versions de Windows

Bref, absolument rien n'est impose par MS.

Oh oui quelle honte, proposer un produit avec moins de fonctionalites pour moins cher, c'est scandaleux !

Tu me fais bien rire quand meme, en fait le seul truc qui ne serait pas scandaleux c'est de le faire en GPL, et l'appeler Linux c'est ca ?

Comme ca on finira comme Mandriva, Novell, et autres.

Et ? Quelle importance ? T'as jamais vu un soft evoluer et changer de features avant sa sortie ? Ce qui importe pour le client est ce que le soft fait en version finale, la version qu'il achete et installe. Ce qui se passe avant fait partie du developpement : essais, reussites, echecs, ... et changements afferents avant la sortie du produit.

Meme Win7 starter n'a pas ca

Non, aucune version a ca.