arrête un peu de péter plus haut que ton cul pcq tu sais faire du kernel space, alors que tu conviendra que n'importe quel programmeur sérieux trouve rapidement que c'est overrated une fois plongé dedans
Peter plus haut que mon cul ? Certainement pas, GeneralZod me demandait si j'avait deja touche un driver pour avoir l'opinion que j'ai, et je lui dit que vu ou je bosses et sur quoi je bossais certainement oui, en quoi cela serait peter plus haut que mon cul ?
Sinon, c'est certainement overrated, apres tout ce n'est que de la programmation avec quelque concepts en plus, rien d'extreme.
en disant qu'une expérience sur une stack IP (et tu excusera tous les linuxiens de pas avoir l'habitude d'appeler une stack IP un driver, mais en même temps si ça te gène c'est le même prix) peut difficilement servir à justifier une espèce "d'autorité" en matière de driver de CG et de l'architecture système d'un GNU/Linux. (bon arrivé à ce point je veux aussi préciser que si ça se trouve je vais avoir l'air totalement ridicule pcq j'aurais loupé un truc, mais en même temps je sais même pas où trouver ton si fameux CV...)
Mon experience sur Linux ne vient pas de cela, mais de ce que je faisais avant d'etre chez MS (et de ce que je fais encore ici ou la) ou mon environnement de 1995 a 2000 etait 100% Linux, et je ne me suis pas arrete en entrant chez MS (bien que cela ait diminue clairement).
Sinon, on parlait de developpement de drivers sous Windows en general (notamment PnP), ce qui n'est pas specifique aux drivers CG.
à partir de 2003... ce qui a laissé le temps de mettre des backdoors subtiles (dont je parlais dans la suite du paragraphe)
Oui bien sur, pure speculation. C'est dingue comme il n'y a _jamais_ la moindre preuve quand meme non ? Parce que ajouter ces backdoors reviendrait a le faire dans un service pack, hors les changements sont limites dans les service packs, ca serait plutot facile a voir vu que les gouvernements ont acces aux depots et peuvent voir les changements.
Non, les gouvernements ont acces a tout, c'est un programme different pour eux : http://www.microsoft.com/resources/sharedsource/gsp.mspx et la ils peuvent avoir acces aux parties crypto, aux sources des outils de developpements(= compilo), etc...
ensuite ce genre de choses n'apporte de sécurité que si les gouvernements en question peuvent recompiler leur windows à leur sauce (et recompiler le compilateur), et surtout installer et utiliser leur propre version en lieu et place des versions préinstallées par les fournisseurs de matériel (et donc ajouter leurs propres patches). Ce dont je doute fort qu'ils aient la possibilité (juridique et technique).
Ils peuvent recompiler leur Windows, ils peuvent verifier avec un desassembleur que le code ressemble au code source, ils peuvent utiliser un debugger pour voir ce qu'il se passe, etc...
C'est tout ce dont ils ont besoin pour verifier qu'il n'y a pas de backdoor, ajouter leurs propre patchs n'entre certainement pas dans ce creneau.
Et c'est quoi le probleme avec ca ? Il y avait quoi de scandaleux dans ce document ? Qu'est ce que Microsoft fait dans ce document qui va plus loin que ce que la justice demande ?
Tu aurais voulu que MS fasse quoi ? Qu'ils donnent un doigt d'honneur a la justice quand ils debarquent avec un mandat ? Moi je croyais que tu voulais que MS respecte la loi non ?
a) En quoi MS est une balance ? Ils donnent eux-meme des infos ? Non, ils donnent un soft, que n'importe qui pourrait ecrire, rien de secret ou de personnel la dedans
b) En quoi c'est etre une balance d'aider la police ? C'est quoi ce comportement debile qui dit qu'il ne faut pas aider la police sinon t'es une balance ?
Et quand on voit ça http://en.wikipedia.org/wiki/IBM_Lotus_Notes#Security ("workload reduction factor", aka une large partie des clefs de chiffrement est elle-même chiffrée avec une clef de la NSA, comme ça la sécurité est préservée pour tout le monde sauf la NSA), franchement les backdoors faites exprès dans les systèmes propriétaires sont une réalité, pas de la science-fiction. Dans les projets libres, c'est plus difficile, mais laisser ou introduire des failles de sécurité subtiles est relativement facile - même une relecture avisée de code pourra passer à côté d'un off by 1 dans le tas, qui quand on sait qu'il est là peut mener à la création d'un exploit...
Sachant que tous les gouvernements ont acces aux sources, et qu'ils sont toujours sous Windows, clairement il n'y a pas de probleme, parce que si c'etait vraiment le cas, ca aurait etre tres clairement visible dans les sources et aucun gouvernement n'aurait continue a utiliser Windows a part les USA.
Quand a la vie privee de ses clients, tu te plains de quoi ? Que MS offre des softs a la police pour l'aider a resoudre des crimes ? Tu as un probleme avec le fait d'aider la justice ? MS n'offre pas un systeme pour aveuglement prendre les donnees de monsieur tout le monde, c'est une cle USB, donc la police doit deja avoir le PC entre ses mains, ce qui demande un mandat et l'accord d'un juge.
la NSA n'a pas au regard de son passé , accordé beaucoup de garantie au données personnelles et à la vie privée .. (echelon toussa ) , couplé à la puissance de google , il y a qqch de pas très rassurant disont ....
Tu crois que la NSA a besoin de s'associer publiquement a Google pour voir ton e-mail ?
je ne souhaite meme pas évoqué l'affaire du COFFE made in Microsoft , et l'affaire cryptomio récemment sourcé par wikileak
COFFE ? Oh mon dieu, une cle usb pour lire les infos plus facilement d'un disque dur lors d'une investigation, quelle horreure ! Ca a quelque chose d'invasif ? Non, les gens qui l'utilisent ont par definition ta machine entre leurs mains pour l'utiliser, cette cle USB est bien le dernier de tes soucis des lors, et inutile de dire que seuls les polices en ont besoin, bref pour des crimes standards, pour ce qui est de l'espionnage ils ont pas attendu MS pour savoir lire le contenu d'un PC et extraire les elements interessants.
"Cyber-défense : Google pourrait collaborer avec la NSA
La vaste cyber-attaque subie par les infrastructures de Google depuis la Chine intéresse aussi les services secrets américains comme la NSA.
Selon le Washington Post, le groupe Internet pourrait entamer une collaboration avec la plus puissante agence fédérale de renseignements aux Etats-Unis afin d’analyser le vaste assaut informatique observé fin 2009."
Super, et ? La NSA a notamment pour tache la _defense_ , dans le cas de Google vu la quantite de donnees qu'ils ont, c'est normal. D'ailleurs, je me souviens pas t'avoir vu hurler lorsque la NSA s'est mise a bosser sur Linux.
En revanche l'auteur de Groklaw elle doit s'y connaitre en matière de droit et elle n'est pas de ton avis.
Qu'on ne s'y trompe pas, elle en connait probablement un peu plus que moi, mais Groklaw n'est pas un avocat, c'est un paralegal : Aux USA ces gens s'occupent d'ecrire des papiers legaux, ils ne s'occupent pas de la loi elle-meme. En gros, c'est un secretaire pour un avocat.
Bref, elle a surement eu des connaissances de droit basique de par son travail, cela n'en fait pas un avocat tres loin de la. Ma fiancee qui est en train de faire son master de droit en ce moment a plusieurs collegues qui etait paralegal avant. Ils sont dans la meme mouise qu'elle quasiment, ils ne connaissent pas forcement la loi, comment interpreter les choses, etc... Par contre ils savent ecrire un document legal avec les formes qui vont bien, etc...
Il n'y a aucune education demandee pour etre un paralegal par exemple, tu peux avoir ete menuisier et devenir paralegal le jour d'apres. Beaucoup ont suivi un minimum d'etudes, mais c'est pas des etudes de droit, sinon ils seraient avocats (et gagneraient beaucoup plus)
Le seul code sûr est le logiciel libre, où tout un chacun (comprenez, avec le compétences nécessaires) pourra auditer, modifier, tester et améliorer le code.
C'est bien, tu as recite la legende du logiciel libre.
Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
Il y a juste un tout petit probleme a ta theorie... les preuves vont dans l'autre sens. C'est dommage mais a moins que tu en amenes d'autres ce que tu fais c'est encore une fois la definition du FUD
Ah ben voila, tu le dis, il y a des preuves, montres les. Genre tu dois avoir un exemplaire de la lettre de MS a TH c'est ca ?
Hein comment ? Tu te defiles ? Quelle surprise
Au passage si IBM avait vraiment degaine les premiers je suis persuade que TH se serait fait un plaisir de montrer l'email ou la lettre le prouvant de tel sorte a appuyes leurs dires. Ce n'est pas le cas curieusement...
TH a montre ce qu'ils voulaient montrer : la lettre precedente n'aurait rien change pour les gens comme toi qui ne veulent voir que ce qui leur fait plaisir.
Maintenant moi j'ai donne une autre hypothese tout aussi plausible et pour laquelle j'ai autant de preuves que toi c'est a dire aucune. Ce sont juste des presomptions base sur le comportement precedent de Microsoft.
Moi j'ai la lettre de TH qui dit "We also were surprised at the suggestion that our TurboHercules product " et clairement vu comme c'est ecrit (pas les details), c'est une reponse a quelque chose qu'IBM leur a envoye, parce que si c'etait venu de quelqu'un d'autre, il y aurait eu des details pour clarifier ce qu'ils entendent par la.
A dernier point, je ne suis pas haut cadre de TH ou de IBM du coup le tu sais tres bien c'est carrement idiot vu que seul les personnes impliques directement connaissent la plupart des tenants et aboutissant (et encore).
Miracle, un truc ou on est d'accord.
Toutefois les donnees actuellement public ne pointe absolument pas, comme il a fallu que te l'explique patrick (ah la la tes problemes d'oeuilleres commence a te jouer de sacre tour) vers le fait que IBM soit l'agresseur.
Patrck ne m'a rien explique, il a donne son avis sur ce que tu lui a montre et sur mon opinion. C'est pas Dieu non plus hein, son avis n'est pas plus ou moins important que tout autre avis.
Je trouve que tu vas un peu vite en raccourcis entre « microsoft, dans une de ses initiatives, fait un truc correct pour la sécurité » et « microsoft est l'exemple à suivre en matière de sécurité ».
Je ne fais aucun raccourci, car c'est :
a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
b) Il n'est de loin pas le seul a le dire dans la communaute securite
Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.
a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
b) Il n'y a pas de portes derobees
De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
Ca utilise la base de registres, mais c'est pas que ca. En gros, ca s'occupe de gerer la configuration de nombreux parametres des systemes sur le domaine, ces parametres sont notamment dans la base de registre mais pas seulement.
Quand a cfengine, c'est loin des possibilites d'un systeme AD, rien que la possibilite de choisir et filtrer, les conditions de cfengine palissent en comparaison de ce que WMI permet de faire et sa simplicite.
Et on ne parlera pas de l'integration de la chose, pour utiliser cfengine il faut se coltiner tout un langage bizarre, ne pas oublier que les 3/4 de Linux ne se gerent pas avec GConf donc faut y aller au script bien degueu pour changer un element de config, ...
Quand il parle d'assurance, ca n'a pas grand-chose a voir avec certaines des garanties que tu demandes.
Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.
Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
Il n'y a absolument rien d'equivalent a GPO en fonctionnalites sous Linux, c'est d'ailleurs a mon avis le plus gros probleme pour l'administration de desktops Linux en entreprise.
Chez moi ça veut dire "collection de sites faisant autorité".
Moi aussi, mais ca veut pas dire qu'ils font autorite par l'exactitude du contenu, dans le cas present c'est par leur popularite et leur sujet.
Pour moi le site a simplement gagné sa légitimité à travers ses analyses sur les affaires antérieures.
Qu'on se comprenne, je ne dis pas que TOUT ce qu'elle/il dit est des conneries. Mais il y a tres clairement detournement et partialite selon les sujets.
A la lecture des lettres échangées je n'ai pas du tout compris ça. D'ailleurs l'auteur de l'article Groklaw n'est pas d'accord avec toi puisqu'elle écrit : "So it was actually TurboHercules who asked for the list that IBM sent".
Moi je regardes ce que TH a envoye a IBM :
We also were surprised at the suggestion that our TurboHercules product -- which merely relies on Hercules open source emulation software to run z/OS on Intel-based servers -- might infringe certain IBM intellectual property
Clairement, quelqu'un a tape a leur porte et leur a suggere que leur soft pourrait violer des brevets IBM. D'apres toi, ca serait qui ?
Le 1er, pas besoin des sources, il est tres simple d'instrumenter un binaire sans les sources comme ils le font.
Le 2eme lien que tu donnes, c'est un outil qui n'utilise absolument pas les sources, il travaille sur les binaires uniquement en analysant le comportement de l'application lorsque elle processe les donnees, et c'est de tres loin le fuzzer le plus efficace que je connaisse, d'ailleurs je ne le considere meme pas comme un fuzzer, car il est beaucoup, beaucoup, plus intelligent qu'un fuzzer normal.
- Garantie sur l'intégrité des données. Si, en cas d'utilisation normal, les données venaient à se corrompre, Microsoft assume la responsabilité.
Impossible a garantir techniquement. Remarque deja aujourd'hui dans ce genre de cas on essaierait de creer un outil pour extraire les donnees car on est pas des peaux de vache, mais prendre une responsabilite dessus, alors que c'est un truc impossible a garantir techniquement, c'est une tout autre histoire.
Garantie sur les corrections de bug. Si un bug apparaît, la garantie que la correction est effectuée dans un temps X
Et si le bug requiert des changements massifs on fait quoi ? On sort le truc non teste et ont met tout le monde dans la merde ?
Garantie sur le choix matériel/logiciel. Si je prends le matériel Y (spécifié par Microsoft), j'ai une garantie de fonctionnement (donc je peux installer le système dessus depuis un CD/DVD officiel, ça va marcher (pas passer des heures sur le net à trouver une solution)).
MS ne controle pas le matos et les drivers, resultat il ne peut pas garantir cela, et meme si il le controlait, les bugs hardware ca existe et ca ne manque pas car c'est devenu extremement complexe, demande a NVidia et ATI...
Garantie sur la sécurité. Les X attaques connues ont été testées en profondeur et si mon serveur meurt d'une de ces X attaques, Microsoft assume.
T'entends quoi par "attaque connue" ? Si c'est une attaque precise sur un composant precis, possible. Si c'est un type d'attaque general, impossible.
Et ce n'est rien d'exceptionnel là, puisque Microsoft fait déjà se travail mais ne fournis pas de garanties contractuelles sur ces sujets (ou en partie). Je n'ai jamais eu le cas d'un NTFS se corrompre en utilisation normal, faites le pas, garantissez maintenant.
De nouveau, c'est pas possible techniquement de le garantire. La jouer sur les probabilities ? Si on se loupe et ne serait-ce que 1% des machines sont touchees, c'est un million de machines dont on parle...
C'est _TECHNIQUEMENT_ impossible, pas qu'on veuille pas ou que ca coute trop cher, c'est pas possible de garantir qu'un bug ne se produira pas dans un composant donne tout simplement.
The Legal Blawgs Web Archive is a selective collection of authoritative sites (associated with American Bar Association approved law schools, research institutes, think tanks, and other expertise-based organizations) that contain unique, born digital content. These blogs contain journal-style entries, articles and essays, discussions, and comments on emerging legal issues, national and international.
Tu me montresla partie ou ils disent que le contenu est correct et valide ? Ah oui, tu peux pas car ce n'est pas mentionne. Ils parlent du fait que le contenu est unique et sur un certain type de sujet, c'est tout.
Tu vois, la difference entre toi et moi, c'est que moi je recherche et je m'informes avant de poster, ca m'evite de sortir connerie sur connerie et passer pour un clown.
Mais je sais tout ça. Juste que je suis pas d'accord sur "impossibilité technique". Parce que si je peux donner des garanties, pourquoi les autres ne pourraient pas ?
Mais garanties de quoi ?
Garantir que le soft n'a pas de bug, c'est impossible.
Garantir que le soft a ete teste de maniere X ou Y, ca peut se faire j'imagines, mais je vois mal ce que ca changerait par rapport a aujourd'hui, au final t'es dans le meme petrin et tu recois rien.
La grande différence c'est que Microsoft aura des certifications qui attestent que c'est bien le cas (mais pour avoir vécu le passage d'une entreprise en ISO, je suis de moins en moins convaincu, mais ça n'engage que moi) ou, pour rester dans le thème, le "threat modeling" sera appliqué avec, vu les moyens, les meilleures experts du domaine.
C'est deja le cas, il y a un document, ce qu'on appelle SDL chez nous, qui decrit le processus a suivre d'un point de vue securite dans le developpement de soft, il est publique et c'est ce qui est applique en interne, on le dit tres clairement. Quand aux meilleurs experts, c'est deja le cas depuis longtemps, Dan Kaminsky par exemple a passe une bonne partie de son temps chez nous lors du developpement de Vista et c'etait pas le seul, sans parler de nos teams internes qui regorgent de gars extremement competents.
Si t'es pas foutu de remarquer qu'on parlait avec General Zod de drivers dans Windows et leur complexite, pas dans Linux, c'est triste, tu as visiblement un probleme serieux au niveau du cerveau.
Ce que j'appelle driver, c'est ce que tout le monde appelle driver, si t'es pas foutu de comprendre ce que c'est, je te l'ai deja dit, va faire un cours d'introduction a l'informatique, c'est tres simple a comprendre et c'est clairement explique sur le net.
Maintenant si ca te fout les boules d'etre passe pour un con une fois de plus j'y peux rien, la prochaine fois evite simplement de parler de ce que tu connais pas.
[^] # Re: Argh
Posté par pasBill pasGates . En réponse au journal Xorg 1.8: épatant ?. Évalué à 2.
Peter plus haut que mon cul ? Certainement pas, GeneralZod me demandait si j'avait deja touche un driver pour avoir l'opinion que j'ai, et je lui dit que vu ou je bosses et sur quoi je bossais certainement oui, en quoi cela serait peter plus haut que mon cul ?
Sinon, c'est certainement overrated, apres tout ce n'est que de la programmation avec quelque concepts en plus, rien d'extreme.
en disant qu'une expérience sur une stack IP (et tu excusera tous les linuxiens de pas avoir l'habitude d'appeler une stack IP un driver, mais en même temps si ça te gène c'est le même prix) peut difficilement servir à justifier une espèce "d'autorité" en matière de driver de CG et de l'architecture système d'un GNU/Linux. (bon arrivé à ce point je veux aussi préciser que si ça se trouve je vais avoir l'air totalement ridicule pcq j'aurais loupé un truc, mais en même temps je sais même pas où trouver ton si fameux CV...)
Mon experience sur Linux ne vient pas de cela, mais de ce que je faisais avant d'etre chez MS (et de ce que je fais encore ici ou la) ou mon environnement de 1995 a 2000 etait 100% Linux, et je ne me suis pas arrete en entrant chez MS (bien que cela ait diminue clairement).
Sinon, on parlait de developpement de drivers sous Windows en general (notamment PnP), ce qui n'est pas specifique aux drivers CG.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Oui bien sur, pure speculation. C'est dingue comme il n'y a _jamais_ la moindre preuve quand meme non ? Parce que ajouter ces backdoors reviendrait a le faire dans un service pack, hors les changements sont limites dans les service packs, ca serait plutot facile a voir vu que les gouvernements ont acces aux depots et peuvent voir les changements.
Et sachant également que seulement 90% du code n'est à disposition sauf exceptions http://www.microsoft.com/resources/sharedsource/initiative/f(...) ça laisse de la place...
Non, les gouvernements ont acces a tout, c'est un programme different pour eux : http://www.microsoft.com/resources/sharedsource/gsp.mspx et la ils peuvent avoir acces aux parties crypto, aux sources des outils de developpements(= compilo), etc...
ensuite ce genre de choses n'apporte de sécurité que si les gouvernements en question peuvent recompiler leur windows à leur sauce (et recompiler le compilateur), et surtout installer et utiliser leur propre version en lieu et place des versions préinstallées par les fournisseurs de matériel (et donc ajouter leurs propres patches). Ce dont je doute fort qu'ils aient la possibilité (juridique et technique).
Ils peuvent recompiler leur Windows, ils peuvent verifier avec un desassembleur que le code ressemble au code source, ils peuvent utiliser un debugger pour voir ce qu'il se passe, etc...
C'est tout ce dont ils ont besoin pour verifier qu'il n'y a pas de backdoor, ajouter leurs propre patchs n'entre certainement pas dans ce creneau.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Tu aurais voulu que MS fasse quoi ? Qu'ils donnent un doigt d'honneur a la justice quand ils debarquent avec un mandat ? Moi je croyais que tu voulais que MS respecte la loi non ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 5.
a) En quoi MS est une balance ? Ils donnent eux-meme des infos ? Non, ils donnent un soft, que n'importe qui pourrait ecrire, rien de secret ou de personnel la dedans
b) En quoi c'est etre une balance d'aider la police ? C'est quoi ce comportement debile qui dit qu'il ne faut pas aider la police sinon t'es une balance ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Sachant que tous les gouvernements ont acces aux sources, et qu'ils sont toujours sous Windows, clairement il n'y a pas de probleme, parce que si c'etait vraiment le cas, ca aurait etre tres clairement visible dans les sources et aucun gouvernement n'aurait continue a utiliser Windows a part les USA.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 4.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 0.
Quand a la vie privee de ses clients, tu te plains de quoi ? Que MS offre des softs a la police pour l'aider a resoudre des crimes ? Tu as un probleme avec le fait d'aider la justice ? MS n'offre pas un systeme pour aveuglement prendre les donnees de monsieur tout le monde, c'est une cle USB, donc la police doit deja avoir le PC entre ses mains, ce qui demande un mandat et l'accord d'un juge.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 3.
Tu crois que la NSA a besoin de s'associer publiquement a Google pour voir ton e-mail ?
je ne souhaite meme pas évoqué l'affaire du COFFE made in Microsoft , et l'affaire cryptomio récemment sourcé par wikileak
COFFE ? Oh mon dieu, une cle usb pour lire les infos plus facilement d'un disque dur lors d'une investigation, quelle horreure ! Ca a quelque chose d'invasif ? Non, les gens qui l'utilisent ont par definition ta machine entre leurs mains pour l'utiliser, cette cle USB est bien le dernier de tes soucis des lors, et inutile de dire que seuls les polices en ont besoin, bref pour des crimes standards, pour ce qui est de l'espionnage ils ont pas attendu MS pour savoir lire le contenu d'un PC et extraire les elements interessants.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 4.
La vaste cyber-attaque subie par les infrastructures de Google depuis la Chine intéresse aussi les services secrets américains comme la NSA.
Selon le Washington Post, le groupe Internet pourrait entamer une collaboration avec la plus puissante agence fédérale de renseignements aux Etats-Unis afin d’analyser le vaste assaut informatique observé fin 2009."
Super, et ? La NSA a notamment pour tache la _defense_ , dans le cas de Google vu la quantite de donnees qu'ils ont, c'est normal. D'ailleurs, je me souviens pas t'avoir vu hurler lorsque la NSA s'est mise a bosser sur Linux.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 1.
Qu'on ne s'y trompe pas, elle en connait probablement un peu plus que moi, mais Groklaw n'est pas un avocat, c'est un paralegal : Aux USA ces gens s'occupent d'ecrire des papiers legaux, ils ne s'occupent pas de la loi elle-meme. En gros, c'est un secretaire pour un avocat.
Bref, elle a surement eu des connaissances de droit basique de par son travail, cela n'en fait pas un avocat tres loin de la. Ma fiancee qui est en train de faire son master de droit en ce moment a plusieurs collegues qui etait paralegal avant. Ils sont dans la meme mouise qu'elle quasiment, ils ne connaissent pas forcement la loi, comment interpreter les choses, etc... Par contre ils savent ecrire un document legal avec les formes qui vont bien, etc...
Il n'y a aucune education demandee pour etre un paralegal par exemple, tu peux avoir ete menuisier et devenir paralegal le jour d'apres. Beaucoup ont suivi un minimum d'etudes, mais c'est pas des etudes de droit, sinon ils seraient avocats (et gagneraient beaucoup plus)
[^] # Re: Énorme propagande
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 3.
C'est bien, tu as recite la legende du logiciel libre.
Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 2.
Ah ben voila, tu le dis, il y a des preuves, montres les. Genre tu dois avoir un exemplaire de la lettre de MS a TH c'est ca ?
Hein comment ? Tu te defiles ? Quelle surprise
Au passage si IBM avait vraiment degaine les premiers je suis persuade que TH se serait fait un plaisir de montrer l'email ou la lettre le prouvant de tel sorte a appuyes leurs dires. Ce n'est pas le cas curieusement...
TH a montre ce qu'ils voulaient montrer : la lettre precedente n'aurait rien change pour les gens comme toi qui ne veulent voir que ce qui leur fait plaisir.
Maintenant moi j'ai donne une autre hypothese tout aussi plausible et pour laquelle j'ai autant de preuves que toi c'est a dire aucune. Ce sont juste des presomptions base sur le comportement precedent de Microsoft.
Moi j'ai la lettre de TH qui dit "We also were surprised at the suggestion that our TurboHercules product " et clairement vu comme c'est ecrit (pas les details), c'est une reponse a quelque chose qu'IBM leur a envoye, parce que si c'etait venu de quelqu'un d'autre, il y aurait eu des details pour clarifier ce qu'ils entendent par la.
A dernier point, je ne suis pas haut cadre de TH ou de IBM du coup le tu sais tres bien c'est carrement idiot vu que seul les personnes impliques directement connaissent la plupart des tenants et aboutissant (et encore).
Miracle, un truc ou on est d'accord.
Toutefois les donnees actuellement public ne pointe absolument pas, comme il a fallu que te l'explique patrick (ah la la tes problemes d'oeuilleres commence a te jouer de sacre tour) vers le fait que IBM soit l'agresseur.
Patrck ne m'a rien explique, il a donne son avis sur ce que tu lui a montre et sur mon opinion. C'est pas Dieu non plus hein, son avis n'est pas plus ou moins important que tout autre avis.
[^] # Re: Clarification
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 0.
Je ne fais aucun raccourci, car c'est :
a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
b) Il n'est de loin pas le seul a le dire dans la communaute securite
Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.
a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
b) Il n'y a pas de portes derobees
De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 1.
Quand a cfengine, c'est loin des possibilites d'un systeme AD, rien que la possibilite de choisir et filtrer, les conditions de cfengine palissent en comparaison de ce que WMI permet de faire et sa simplicite.
Et on ne parlera pas de l'integration de la chose, pour utiliser cfengine il faut se coltiner tout un langage bizarre, ne pas oublier que les 3/4 de Linux ne se gerent pas avec GConf donc faut y aller au script bien degueu pour changer un element de config, ...
# Clarification
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 2.
Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.
Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 1.
Oui bien sur, comme Ballmer et les brevets concernant Linux ?
Tu sais tres bien qui a fait la suggestion, ca te casse juste les couilles de l'admettre.
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 1.
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 2.
[^] # Re: Pas de ssh, normal...
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 4.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 2.
Moi aussi, mais ca veut pas dire qu'ils font autorite par l'exactitude du contenu, dans le cas present c'est par leur popularite et leur sujet.
Pour moi le site a simplement gagné sa légitimité à travers ses analyses sur les affaires antérieures.
Qu'on se comprenne, je ne dis pas que TOUT ce qu'elle/il dit est des conneries. Mais il y a tres clairement detournement et partialite selon les sujets.
A la lecture des lettres échangées je n'ai pas du tout compris ça. D'ailleurs l'auteur de l'article Groklaw n'est pas d'accord avec toi puisqu'elle écrit : "So it was actually TurboHercules who asked for the list that IBM sent".
Moi je regardes ce que TH a envoye a IBM :
We also were surprised at the suggestion that our TurboHercules product -- which merely relies on Hercules open source emulation software to run z/OS on Intel-based servers -- might infringe certain IBM intellectual property
Clairement, quelqu'un a tape a leur porte et leur a suggere que leur soft pourrait violer des brevets IBM. D'apres toi, ca serait qui ?
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 1.
Le 2eme lien que tu donnes, c'est un outil qui n'utilise absolument pas les sources, il travaille sur les binaires uniquement en analysant le comportement de l'application lorsque elle processe les donnees, et c'est de tres loin le fuzzer le plus efficace que je connaisse, d'ailleurs je ne le considere meme pas comme un fuzzer, car il est beaucoup, beaucoup, plus intelligent qu'un fuzzer normal.
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 3.
Impossible a garantir techniquement. Remarque deja aujourd'hui dans ce genre de cas on essaierait de creer un outil pour extraire les donnees car on est pas des peaux de vache, mais prendre une responsabilite dessus, alors que c'est un truc impossible a garantir techniquement, c'est une tout autre histoire.
Garantie sur les corrections de bug. Si un bug apparaît, la garantie que la correction est effectuée dans un temps X
Et si le bug requiert des changements massifs on fait quoi ? On sort le truc non teste et ont met tout le monde dans la merde ?
Garantie sur le choix matériel/logiciel. Si je prends le matériel Y (spécifié par Microsoft), j'ai une garantie de fonctionnement (donc je peux installer le système dessus depuis un CD/DVD officiel, ça va marcher (pas passer des heures sur le net à trouver une solution)).
MS ne controle pas le matos et les drivers, resultat il ne peut pas garantir cela, et meme si il le controlait, les bugs hardware ca existe et ca ne manque pas car c'est devenu extremement complexe, demande a NVidia et ATI...
Garantie sur la sécurité. Les X attaques connues ont été testées en profondeur et si mon serveur meurt d'une de ces X attaques, Microsoft assume.
T'entends quoi par "attaque connue" ? Si c'est une attaque precise sur un composant precis, possible. Si c'est un type d'attaque general, impossible.
Et ce n'est rien d'exceptionnel là, puisque Microsoft fait déjà se travail mais ne fournis pas de garanties contractuelles sur ces sujets (ou en partie). Je n'ai jamais eu le cas d'un NTFS se corrompre en utilisation normal, faites le pas, garantissez maintenant.
De nouveau, c'est pas possible techniquement de le garantire. La jouer sur les probabilities ? Si on se loupe et ne serait-ce que 1% des machines sont touchees, c'est un million de machines dont on parle...
C'est _TECHNIQUEMENT_ impossible, pas qu'on veuille pas ou que ca coute trop cher, c'est pas possible de garantir qu'un bug ne se produira pas dans un composant donne tout simplement.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 0.
The Legal Blawgs Web Archive is a selective collection of authoritative sites (associated with American Bar Association approved law schools, research institutes, think tanks, and other expertise-based organizations) that contain unique, born digital content. These blogs contain journal-style entries, articles and essays, discussions, and comments on emerging legal issues, national and international.
Tu me montresla partie ou ils disent que le contenu est correct et valide ? Ah oui, tu peux pas car ce n'est pas mentionne. Ils parlent du fait que le contenu est unique et sur un certain type de sujet, c'est tout.
Tu vois, la difference entre toi et moi, c'est que moi je recherche et je m'informes avant de poster, ca m'evite de sortir connerie sur connerie et passer pour un clown.
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 2.
Mais garanties de quoi ?
Garantir que le soft n'a pas de bug, c'est impossible.
Garantir que le soft a ete teste de maniere X ou Y, ca peut se faire j'imagines, mais je vois mal ce que ca changerait par rapport a aujourd'hui, au final t'es dans le meme petrin et tu recois rien.
La grande différence c'est que Microsoft aura des certifications qui attestent que c'est bien le cas (mais pour avoir vécu le passage d'une entreprise en ISO, je suis de moins en moins convaincu, mais ça n'engage que moi) ou, pour rester dans le thème, le "threat modeling" sera appliqué avec, vu les moyens, les meilleures experts du domaine.
C'est deja le cas, il y a un document, ce qu'on appelle SDL chez nous, qui decrit le processus a suivre d'un point de vue securite dans le developpement de soft, il est publique et c'est ce qui est applique en interne, on le dit tres clairement. Quand aux meilleurs experts, c'est deja le cas depuis longtemps, Dan Kaminsky par exemple a passe une bonne partie de son temps chez nous lors du developpement de Vista et c'etait pas le seul, sans parler de nos teams internes qui regorgent de gars extremement competents.
Mais j'appelle pas ca une garantie.
[^] # Re: Argh
Posté par pasBill pasGates . En réponse au journal Xorg 1.8: épatant ?. Évalué à 5.
Ce que j'appelle driver, c'est ce que tout le monde appelle driver, si t'es pas foutu de comprendre ce que c'est, je te l'ai deja dit, va faire un cours d'introduction a l'informatique, c'est tres simple a comprendre et c'est clairement explique sur le net.
Maintenant si ca te fout les boules d'etre passe pour un con une fois de plus j'y peux rien, la prochaine fois evite simplement de parler de ce que tu connais pas.