Je parlais specifiquement des distribs, Linagora n'est pas une distrib, c'est une societe de services comme une autre qui a simplement un focus prononce sur le libre.
Si on regarde les distribs Linux, il y a Redhat qui vient bien, Novell qui vivote, et tout le reste qui perd de l'argent. C'est la situation depuis plusieurs annees.
J'ai du mal a voir ou est le potentiel, visiblement tous ceux qui ont essaye se sont casse les dents a part Redhat
Ca marche uniquement si l'autre cote respecte cela et utilise le semaphore. Avec le fichier, t'as la garantie que personne ne viendra ecrire pendant que tu lis, peu importe qui a ecrit l'autre soft.
vu qu'ils utilisent la plupart du temps leurs produits parce qu'ils ne connaissent que ça et ils pourraient changer
...
c'est beaucoup moins le cas pour les produits Microsoft que beaucoup de gens subissent
Faut te decider mon cher, ils peuvent pas a la fois subir et avoir la liberte de changer.
Sinon les brevets pour Theora, s'il y en a, on peut logiquement supposer qu'ils sont en main de Google (via le rachat d'On2 (c'est quand même basé sur un ancêtre du VP8, Theora)).
T'as pas compris. Tous les codecs videos sont bases sur des concepts similaires, qui eux sont brevetes, et pas par Google car Google n'existait meme pas a l'epoque.
C'est pas les trucs specifiques a Theora le probleme, c'est les trucs specifiques a la plupart des codecs video le probleme.
Quand on voit le nombre de failles dans IE et le nombre dans Firefox, permet de rire un grand coup, parce que Firefox est un gruyere compare a IE8.
Voila, maintenant vous pouvez tous sortir en choeur "Mais c'est pas le nombre qui compte, c'est la vitesse a laquelle ils sont corriges" pour essayer d'eviter de voir la realite en face: La qualite du code de Firefox d'un point de vue securite laisse a desirer.
Enfermes ? Dans quoi ? Tu es en train de me dire que personne ne peut passer de Windows a Linux ? Parce qu'un gouvernement et une entreprise c'est la meme chose niveau infrastructure informatique
Non. Flash pue aussi d'un point de vue technique. Même si ton lecteur est libre, le .swf qu'on te demande de télécharger et d'exécuter est propriétaire, lui.
Tout comme l'image JPEG ou la video que tu vois n'est pas libre, tu ne peux pas la modifier et la redistribuer a l'envi car il y a un copyright dessus, visiblement ca ne rend pas JPEG et la video puant.
Oh c'est pas a moi que tu vas la faire celle-la vu que c'est mon boulot de patcher les failles.
On prend ces choses la tres au serieux au contraire et on a tendance a patcher plutot qu'eviter de patcher en cas de doute.
et le client n'a pas forcément envie de développer le proof-of-concept qui va bien pour prouver à chaque fois que sisi, c'est bien une faille...
Pourtant c'est ce qu'ils font : une fois qu'on sort le patch, ils le testent et essaient de trouver des variantes.
Je passe naturellement sur la réactivité d'un mécanisme qui consisterait à demander à deux autres personnes de jeter un œil.
Et tu fais comment pour evaluer un bug douteux (securite ou pas) alors ?
ou alors tu ne patches qu'a minima, que les failles de sécurité et les bugs les plus importants, et tu gardes un ensemble cohérent en faisant une migration toutes les quelques années. Les distributions se resynchronisent upstream régulièrement et ça ne les empêche pas de vivre.
Et quand tu resynchronize tu vas devoir te retaper tous les patchs que tu as mis dans la version precedente. Tu vas devoir aussi migrer tes tests, tout retester vu la masse de changements, etc...
Les distrib Linux en majorite ne sont pas un bon exemple, parce qu'elles font ca plutot mal: elles cassent plein de trucs d'une release a l'autre (sauf Redhat qui sait ce qu'il fait et peut-etre Novell mais je les connais pas assez bien vu que Suse sux).
Il faut gérer les priorités... À quoi ça sert d'améliorer la sécurité de la bureautique classique si les systèmes de défense (beaucoup plus critiques) ne le sont pas ? Le coût du changement ne paraît pas très justifié là...
Tu vois pas a quoi ca sert ? Tu rigoles ?
Parce que l'ordinateur B ne peut pas etre defendu alors tu penses qu'il est normal de laisser l'ordinateur A sans defense ?!?! Tu laisses ta porte ouverte car il est possible de casser la fenetre et entrer toi ?
je n'accuse pas Microsoft d'avoir délibérément mis des trous dans windows au service de la NSA (surtout depuis 2003 avec l'ouverture du code comme tu dis, encore que cette ouverture sans possibilité de patcher est loin d'être parfaite). Je pense simplement qu'il faudrait être bien naïf pour ne pas croire que c'est possible voire probable, dans windows ou ailleurs, ou que si il y a cette ouverture c'est que les agences d'espionnage ont trouvé plus discret (windows devenant bien connu par ailleurs). Quand il y a une faille, Cherche à qui le crime profite dit l'adage... et ça ne profite pas qu'aux mafias et autres éditeurs de virus.
On est d'accord sur le fait que c'est possible. Je suis beaucoup moins d'accord sur le fait que ce soit probable sachant comment les sources sont gerees en interne (des milliers de gens dont plein d'etrangers y ont acces et un changement se voit tres vite vu la faible frequence des changements).
et les ennuis commencent quand l'un pense qu'il y a un problème, l'autre pas. Ça arrive tout le temps et pas qu'avec Microsoft ;) (cf les failles d'Acrobat Reader qui n'étaient pas considérées comme critiques par l'éditeur alors que des exploits circulaient presque).
De nouveau, si 2 personnes ne sont pas d'accord, tu demandes a 2 autres d'y regarder, tu finiras par avoir la reponse. "Douteux" ca n'existe pas en informatique, si tu te demandes comment une partie du code peut etre atteinte, il y a des outils d'analyse pour ca. Si tu te demandes comment elle reagirait avec un certain type d'entree, il y a un debugger et d'autres outils specialises pour forcer l'entree, etc...
moui enfin c'est pas comme si les équipes en charge de la sécurité dans les distros Linux étaient si énorme que ça par exemple.
C'est pas le probleme, si tu fork, tu dois maintenir ta version, ca implique les tests de regression, devoir suivre les evolutions, etc...
Pour un OS entier le travail est enorme si tu veux le faire correctement.
Ben comment faire de la sécurité sans pouvoir ajouter son propre patch ? Ne serait-ce que corriger un truc paraissant douteux... D'autant plus qu'il suffit de pas grand-chose pour modifier une adresse quelque part et que tout exploit se vautre en une lamentable segfault...
Un truc qui parait douteux ? Un truc douteux ca n'existe pas, soit c'est un vrai probleme soit ca ne l'est pas. Et trouver si c'est un probleme c'est pas sorcier, il y a plein d'outils d'analyse de code pour avoir la reponse.
Si ils veulent un patch, ils font comme tout le monde : ils nous demandent. Le patch ils pourront voir son code de toute facon.
Sinon le fait de pouvoir vérifier ne veut pas dire qu'il n'y a pas de backdoor insérée... Quand on découvre une faille de sécurité, on peut toujours se poser la question : est-elle là par hasard ? Si je voulais me garder un accès privilégié sur une machine, sans que ça se voie trop (donc pas de faille type "suivant la présence de tel mot-clef, le mail n'est pas scanné par l'antivirus"), je mettrais plein de petites failles apparemment anodines type off-by-one & co de sorte que les quelques-unes qui seront trouvées m'en laisseront d'autres utiles.
Idem pour le libre
Et enfin, le fait d'avoir accès aux sources ne sert pas à grand-chose pour vérifier les failles - on les voit tout aussi bien, voir mieux, dans un binaire où on n'est pas induit en erreur par un langage de haut niveau (à condition d'avoir les bons outils).
Idem pour le libre
L'intérêt de l'accès aux sources est justement de pouvoir les modifier et utiliser les versions modifiées, pas dans une hypothétique recompilation avec les mêmes options pour faire des checks automatiques de code ASM...
L'interet pour toi il est de modifier parce que tu n'as pas de maintenance a faire et tu te fiches de la stabilite de ce que tu fais, c'est pas le cas de plein de gens qui ont autre chose a faire que maintenir un OS entier sans en avoir les competences ou les ressources pour le faire.
la gendarmerie est une petite structure comparée aux armées. En plus, ses besoins informatiques sont assez classiques : postes bureautiques essentiellement, réseau de communication Rubis et réseau pour savoir si une plaque d'immatriculation ne correspond pas à une voiture volée par exemple, mais pas vraiment de gros systèmes d'armes type Marine (http://www.silicon.fr/fr/news/2009/02/09/le_virus_conficker_(...) )...
Ca n'explique toujours pas pourquoi le ministere de la defense(et autres ministeres) ne pourraient pas bouger toute leur bureautique et serveurs sous Linux/Unix ou autres.
Ca fait depuis 2003 qu'ils ont acces aux sources, clairement il n'y a pas eu de mouvement de masse pour le faire.
En face, il y a des rumeurs a la con, n'ayant _aucun_ argument solide.
Bref, faudrait quand meme un peu de serieux avant de lancer des accusations tu crois pas ?
ben les pays ont la sécurité qu'ils peuvent se payer. Le Togo a la sécurité nationale qu'il peut se payer, la France aussi, tout est question de ressources : le coût du changement de tous les processus industriels axés sur le tout Microsoft est énorme. Coût pour le côté technique comme pour le côté politique (décision d'abord, gestion du changement ensuite, etc.).
Ben oui, donc ils ne planifieraient jamais de changer et accepteraient de se faire entuber, meuh oui...
Ils peuvent depenser des milliards pour le Rafale, mais la meme chose pour boucher un trou enorme dans la securite du pays, non. Un peu de serieux svp.
L'administration ne fait pas exception à la règle "on investit dans la sécurité qu'on juge utile", le curseur étant seulement un peu plus loin que pour le gie cartes bancaires lambda (qui l'avait totalement négligée). Ensuite l'ingénieur qui vient dire "hé mais c'est pas sécurisé votre truc", on lui mettra en face le coût technique (argent à investir) et le coût politique (quoi, on se méfie de la NSA qui nous protège des terroristes ?), et il pourra aller se rhabiller.
Mais oui bien sur, dans le meme genre, on va abandonner l'armee francaise, parce qu'au final ca coute tres cher, hein ?
Quand un truc pareil sort, c'est pas un ingenieur qui va gueuler, c'est tout le ministere de la Defense.
pour la gendarmerie la migration vers OpenOffice.org et les produits Mozilla d'abord, puis vers Linux ensuite n'a pas été motivée pour des questions de sécurité mais de choix politique (un général a décidé ça) et surtout de coût (économies de budget réalisées qui ont été investies entre autres pour changer ces vieilles 4L qu'on voit encore rouler de temps en temps).
Bien, et maintenant tu vas m'expliquer pourquoi la Gendarmerie, qui depend du ministere de la Defense, peut faire cela, en reduisant ses couts, mais le ministere de la Defense lui ne peut absolument pas car cela coute enormement cher et c'est politise.
Meuh oui bien sur, on sait tous que la securite nationale ca ne compte pas quand il s'agit de Microsoft hein !
Allez, vous avez rien trouve d'autre comme excuse pour perpetuer ces histoires ?
Il n'y a qu'à voir comme les agences de sécurité (ANSSI française & BSI allemand) se sont fait limite publiquement désavouer par le pouvoir politique quand elles ont recommandé d'utiliser des navigateurs alternatifs à la place d'internet explorer... Le problème du changement n'est pas technique mais politique - par exemple à la gendarmerie nationale, dès qu'un général décide ça a tout de suite du poids !
Moi je te propose d'aller bosser dans une entreprise, et tu comprendras en quoi le probleme est technique (pense au mot ActiveX notamment).
Sinon c'est rigolo, a te lire, on dirait qu'au la gendarmerie c'est possible de changer sans problemes financiers, mais quand une menace a la securite nationale est trouvee, c'est pas possible, tu as comment dire un certain manque de consistence dans tes propos.
Et il faudrait faire confiance aux gouvernements ? Quelle blague.
T'as raison, je suis sur que lorsque la France, l'Allemagne, les Pays-Bas, etc... decouvrent qu'il y a des backdoors dans Windows ils vont garder Windows sur leurs systemes juste afin que tu ne te doutes de rien, pas grave si les USA peuvent acceder a leur systemes, il est beaucoup plus important que toi tu ne te doutes de rien !
Et c'est pas « tous les gouvernements », arrête de raconter n'importe quoi.
C'est un nombre tres tres large de gouvernements, maintenant si le fait que l'Iran et le Soudan ne sont pas compris dedans te pose un probleme de credibilite, c'est triste.
De plus, à lire le site, on a pas l'air de pouvoir télécharger les sources mais juste les voir depuis un browser (d'où leur super fonctionnalité de recherche dont ils parlent aussi), donc recompilation impossible.
C'est parce que tu as tres mal compris. Ils peuvent telecharger les sources et les recompiler. L'acces a travers un site ne signifie pas qu'ils ne peuvent pas ramener les sources sur leurs systemes et les recompiler. Aucun gouvernement ne serait assez stupide pour accepter un systeme ou ils ne peuvent meme pas verifier ce qu'ils recoivent.
arrête un peu de péter plus haut que ton cul pcq tu sais faire du kernel space, alors que tu conviendra que n'importe quel programmeur sérieux trouve rapidement que c'est overrated une fois plongé dedans
Peter plus haut que mon cul ? Certainement pas, GeneralZod me demandait si j'avait deja touche un driver pour avoir l'opinion que j'ai, et je lui dit que vu ou je bosses et sur quoi je bossais certainement oui, en quoi cela serait peter plus haut que mon cul ?
Sinon, c'est certainement overrated, apres tout ce n'est que de la programmation avec quelque concepts en plus, rien d'extreme.
en disant qu'une expérience sur une stack IP (et tu excusera tous les linuxiens de pas avoir l'habitude d'appeler une stack IP un driver, mais en même temps si ça te gène c'est le même prix) peut difficilement servir à justifier une espèce "d'autorité" en matière de driver de CG et de l'architecture système d'un GNU/Linux. (bon arrivé à ce point je veux aussi préciser que si ça se trouve je vais avoir l'air totalement ridicule pcq j'aurais loupé un truc, mais en même temps je sais même pas où trouver ton si fameux CV...)
Mon experience sur Linux ne vient pas de cela, mais de ce que je faisais avant d'etre chez MS (et de ce que je fais encore ici ou la) ou mon environnement de 1995 a 2000 etait 100% Linux, et je ne me suis pas arrete en entrant chez MS (bien que cela ait diminue clairement).
Sinon, on parlait de developpement de drivers sous Windows en general (notamment PnP), ce qui n'est pas specifique aux drivers CG.
à partir de 2003... ce qui a laissé le temps de mettre des backdoors subtiles (dont je parlais dans la suite du paragraphe)
Oui bien sur, pure speculation. C'est dingue comme il n'y a _jamais_ la moindre preuve quand meme non ? Parce que ajouter ces backdoors reviendrait a le faire dans un service pack, hors les changements sont limites dans les service packs, ca serait plutot facile a voir vu que les gouvernements ont acces aux depots et peuvent voir les changements.
Non, les gouvernements ont acces a tout, c'est un programme different pour eux : http://www.microsoft.com/resources/sharedsource/gsp.mspx et la ils peuvent avoir acces aux parties crypto, aux sources des outils de developpements(= compilo), etc...
ensuite ce genre de choses n'apporte de sécurité que si les gouvernements en question peuvent recompiler leur windows à leur sauce (et recompiler le compilateur), et surtout installer et utiliser leur propre version en lieu et place des versions préinstallées par les fournisseurs de matériel (et donc ajouter leurs propres patches). Ce dont je doute fort qu'ils aient la possibilité (juridique et technique).
Ils peuvent recompiler leur Windows, ils peuvent verifier avec un desassembleur que le code ressemble au code source, ils peuvent utiliser un debugger pour voir ce qu'il se passe, etc...
C'est tout ce dont ils ont besoin pour verifier qu'il n'y a pas de backdoor, ajouter leurs propre patchs n'entre certainement pas dans ce creneau.
Et c'est quoi le probleme avec ca ? Il y avait quoi de scandaleux dans ce document ? Qu'est ce que Microsoft fait dans ce document qui va plus loin que ce que la justice demande ?
Tu aurais voulu que MS fasse quoi ? Qu'ils donnent un doigt d'honneur a la justice quand ils debarquent avec un mandat ? Moi je croyais que tu voulais que MS respecte la loi non ?
a) En quoi MS est une balance ? Ils donnent eux-meme des infos ? Non, ils donnent un soft, que n'importe qui pourrait ecrire, rien de secret ou de personnel la dedans
b) En quoi c'est etre une balance d'aider la police ? C'est quoi ce comportement debile qui dit qu'il ne faut pas aider la police sinon t'es une balance ?
Et quand on voit ça http://en.wikipedia.org/wiki/IBM_Lotus_Notes#Security ("workload reduction factor", aka une large partie des clefs de chiffrement est elle-même chiffrée avec une clef de la NSA, comme ça la sécurité est préservée pour tout le monde sauf la NSA), franchement les backdoors faites exprès dans les systèmes propriétaires sont une réalité, pas de la science-fiction. Dans les projets libres, c'est plus difficile, mais laisser ou introduire des failles de sécurité subtiles est relativement facile - même une relecture avisée de code pourra passer à côté d'un off by 1 dans le tas, qui quand on sait qu'il est là peut mener à la création d'un exploit...
Sachant que tous les gouvernements ont acces aux sources, et qu'ils sont toujours sous Windows, clairement il n'y a pas de probleme, parce que si c'etait vraiment le cas, ca aurait etre tres clairement visible dans les sources et aucun gouvernement n'aurait continue a utiliser Windows a part les USA.
[^] # Re: l'ambEUlance
Posté par pasBill pasGates . En réponse au journal Linux : Mandriva à vendre. Évalué à 5.
[^] # Re: l'ambEUlance
Posté par pasBill pasGates . En réponse au journal Linux : Mandriva à vendre. Évalué à -1.
Si on regarde les distribs Linux, il y a Redhat qui vient bien, Novell qui vivote, et tout le reste qui perd de l'argent. C'est la situation depuis plusieurs annees.
J'ai du mal a voir ou est le potentiel, visiblement tous ceux qui ont essaye se sont casse les dents a part Redhat
[^] # Re: fichier ou mémoire partagée
Posté par pasBill pasGates . En réponse au message Taille d'un argument passé en ligne de commande limité !. Évalué à 2.
[^] # Re: fichier ou mémoire partagée
Posté par pasBill pasGates . En réponse au message Taille d'un argument passé en ligne de commande limité !. Évalué à 3.
Typiquement : Tu commences a lire, et pendant que tu lis l'autre cote modifie --> boum
Alors qu'avec le fichier, tu lock le fichier et c'est bon.
[^] # Re: iPapy débloque
Posté par pasBill pasGates . En réponse au journal Offensive en vue contre Theora ?. Évalué à 3.
...
c'est beaucoup moins le cas pour les produits Microsoft que beaucoup de gens subissent
Faut te decider mon cher, ils peuvent pas a la fois subir et avoir la liberte de changer.
[^] # Re: Comparaison avec Eclipse
Posté par pasBill pasGates . En réponse à la dépêche Sortie de KDevelop 4.0. Évalué à 6.
[^] # Re: Apple ...
Posté par pasBill pasGates . En réponse au journal Offensive en vue contre Theora ?. Évalué à 5.
T'as pas compris. Tous les codecs videos sont bases sur des concepts similaires, qui eux sont brevetes, et pas par Google car Google n'existait meme pas a l'epoque.
C'est pas les trucs specifiques a Theora le probleme, c'est les trucs specifiques a la plupart des codecs video le probleme.
[^] # Re: Pourquoi la mort du flash au profit du html 5 ?
Posté par pasBill pasGates . En réponse à la dépêche Google Chrome integrera Flash. Évalué à -1.
Voila, maintenant vous pouvez tous sortir en choeur "Mais c'est pas le nombre qui compte, c'est la vitesse a laquelle ils sont corriges" pour essayer d'eviter de voir la realite en face: La qualite du code de Firefox d'un point de vue securite laisse a desirer.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 1.
Hors on a vu clairement que cela est possible.
[^] # Re: Flash n'a pas de spécifications fermées!
Posté par pasBill pasGates . En réponse au journal IE 8 certifié. Évalué à 6.
Tout comme l'image JPEG ou la video que tu vois n'est pas libre, tu ne peux pas la modifier et la redistribuer a l'envi car il y a un copyright dessus, visiblement ca ne rend pas JPEG et la video puant.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Oh c'est pas a moi que tu vas la faire celle-la vu que c'est mon boulot de patcher les failles.
On prend ces choses la tres au serieux au contraire et on a tendance a patcher plutot qu'eviter de patcher en cas de doute.
et le client n'a pas forcément envie de développer le proof-of-concept qui va bien pour prouver à chaque fois que sisi, c'est bien une faille...
Pourtant c'est ce qu'ils font : une fois qu'on sort le patch, ils le testent et essaient de trouver des variantes.
Je passe naturellement sur la réactivité d'un mécanisme qui consisterait à demander à deux autres personnes de jeter un œil.
Et tu fais comment pour evaluer un bug douteux (securite ou pas) alors ?
ou alors tu ne patches qu'a minima, que les failles de sécurité et les bugs les plus importants, et tu gardes un ensemble cohérent en faisant une migration toutes les quelques années. Les distributions se resynchronisent upstream régulièrement et ça ne les empêche pas de vivre.
Et quand tu resynchronize tu vas devoir te retaper tous les patchs que tu as mis dans la version precedente. Tu vas devoir aussi migrer tes tests, tout retester vu la masse de changements, etc...
Les distrib Linux en majorite ne sont pas un bon exemple, parce qu'elles font ca plutot mal: elles cassent plein de trucs d'une release a l'autre (sauf Redhat qui sait ce qu'il fait et peut-etre Novell mais je les connais pas assez bien vu que Suse sux).
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Tu vois pas a quoi ca sert ? Tu rigoles ?
Parce que l'ordinateur B ne peut pas etre defendu alors tu penses qu'il est normal de laisser l'ordinateur A sans defense ?!?! Tu laisses ta porte ouverte car il est possible de casser la fenetre et entrer toi ?
je n'accuse pas Microsoft d'avoir délibérément mis des trous dans windows au service de la NSA (surtout depuis 2003 avec l'ouverture du code comme tu dis, encore que cette ouverture sans possibilité de patcher est loin d'être parfaite). Je pense simplement qu'il faudrait être bien naïf pour ne pas croire que c'est possible voire probable, dans windows ou ailleurs, ou que si il y a cette ouverture c'est que les agences d'espionnage ont trouvé plus discret (windows devenant bien connu par ailleurs). Quand il y a une faille, Cherche à qui le crime profite dit l'adage... et ça ne profite pas qu'aux mafias et autres éditeurs de virus.
On est d'accord sur le fait que c'est possible. Je suis beaucoup moins d'accord sur le fait que ce soit probable sachant comment les sources sont gerees en interne (des milliers de gens dont plein d'etrangers y ont acces et un changement se voit tres vite vu la faible frequence des changements).
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
De nouveau, si 2 personnes ne sont pas d'accord, tu demandes a 2 autres d'y regarder, tu finiras par avoir la reponse. "Douteux" ca n'existe pas en informatique, si tu te demandes comment une partie du code peut etre atteinte, il y a des outils d'analyse pour ca. Si tu te demandes comment elle reagirait avec un certain type d'entree, il y a un debugger et d'autres outils specialises pour forcer l'entree, etc...
moui enfin c'est pas comme si les équipes en charge de la sécurité dans les distros Linux étaient si énorme que ça par exemple.
C'est pas le probleme, si tu fork, tu dois maintenir ta version, ca implique les tests de regression, devoir suivre les evolutions, etc...
Pour un OS entier le travail est enorme si tu veux le faire correctement.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Un truc qui parait douteux ? Un truc douteux ca n'existe pas, soit c'est un vrai probleme soit ca ne l'est pas. Et trouver si c'est un probleme c'est pas sorcier, il y a plein d'outils d'analyse de code pour avoir la reponse.
Si ils veulent un patch, ils font comme tout le monde : ils nous demandent. Le patch ils pourront voir son code de toute facon.
Sinon le fait de pouvoir vérifier ne veut pas dire qu'il n'y a pas de backdoor insérée... Quand on découvre une faille de sécurité, on peut toujours se poser la question : est-elle là par hasard ? Si je voulais me garder un accès privilégié sur une machine, sans que ça se voie trop (donc pas de faille type "suivant la présence de tel mot-clef, le mail n'est pas scanné par l'antivirus"), je mettrais plein de petites failles apparemment anodines type off-by-one & co de sorte que les quelques-unes qui seront trouvées m'en laisseront d'autres utiles.
Idem pour le libre
Et enfin, le fait d'avoir accès aux sources ne sert pas à grand-chose pour vérifier les failles - on les voit tout aussi bien, voir mieux, dans un binaire où on n'est pas induit en erreur par un langage de haut niveau (à condition d'avoir les bons outils).
Idem pour le libre
L'intérêt de l'accès aux sources est justement de pouvoir les modifier et utiliser les versions modifiées, pas dans une hypothétique recompilation avec les mêmes options pour faire des checks automatiques de code ASM...
L'interet pour toi il est de modifier parce que tu n'as pas de maintenance a faire et tu te fiches de la stabilite de ce que tu fais, c'est pas le cas de plein de gens qui ont autre chose a faire que maintenir un OS entier sans en avoir les competences ou les ressources pour le faire.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Ca n'explique toujours pas pourquoi le ministere de la defense(et autres ministeres) ne pourraient pas bouger toute leur bureautique et serveurs sous Linux/Unix ou autres.
Ca fait depuis 2003 qu'ils ont acces aux sources, clairement il n'y a pas eu de mouvement de masse pour le faire.
En face, il y a des rumeurs a la con, n'ayant _aucun_ argument solide.
Bref, faudrait quand meme un peu de serieux avant de lancer des accusations tu crois pas ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Ben oui, donc ils ne planifieraient jamais de changer et accepteraient de se faire entuber, meuh oui...
Ils peuvent depenser des milliards pour le Rafale, mais la meme chose pour boucher un trou enorme dans la securite du pays, non. Un peu de serieux svp.
L'administration ne fait pas exception à la règle "on investit dans la sécurité qu'on juge utile", le curseur étant seulement un peu plus loin que pour le gie cartes bancaires lambda (qui l'avait totalement négligée). Ensuite l'ingénieur qui vient dire "hé mais c'est pas sécurisé votre truc", on lui mettra en face le coût technique (argent à investir) et le coût politique (quoi, on se méfie de la NSA qui nous protège des terroristes ?), et il pourra aller se rhabiller.
Mais oui bien sur, dans le meme genre, on va abandonner l'armee francaise, parce qu'au final ca coute tres cher, hein ?
Quand un truc pareil sort, c'est pas un ingenieur qui va gueuler, c'est tout le ministere de la Defense.
pour la gendarmerie la migration vers OpenOffice.org et les produits Mozilla d'abord, puis vers Linux ensuite n'a pas été motivée pour des questions de sécurité mais de choix politique (un général a décidé ça) et surtout de coût (économies de budget réalisées qui ont été investies entre autres pour changer ces vieilles 4L qu'on voit encore rouler de temps en temps).
Bien, et maintenant tu vas m'expliquer pourquoi la Gendarmerie, qui depend du ministere de la Defense, peut faire cela, en reduisant ses couts, mais le ministere de la Defense lui ne peut absolument pas car cela coute enormement cher et c'est politise.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 1.
Allez, vous avez rien trouve d'autre comme excuse pour perpetuer ces histoires ?
Il n'y a qu'à voir comme les agences de sécurité (ANSSI française & BSI allemand) se sont fait limite publiquement désavouer par le pouvoir politique quand elles ont recommandé d'utiliser des navigateurs alternatifs à la place d'internet explorer... Le problème du changement n'est pas technique mais politique - par exemple à la gendarmerie nationale, dès qu'un général décide ça a tout de suite du poids !
Moi je te propose d'aller bosser dans une entreprise, et tu comprendras en quoi le probleme est technique (pense au mot ActiveX notamment).
Sinon c'est rigolo, a te lire, on dirait qu'au la gendarmerie c'est possible de changer sans problemes financiers, mais quand une menace a la securite nationale est trouvee, c'est pas possible, tu as comment dire un certain manque de consistence dans tes propos.
[^] # Re: Ce n'est pas une guerre!
Posté par pasBill pasGates . En réponse au journal Qui est le plus "efficace" : l'open source ou le logiciel libre?. Évalué à 1.
Oui oui bien sur. Il y a largement assez d'exemples pour montrer que non, le libre ne signifie par superiorite technique.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 0.
T'as raison, je suis sur que lorsque la France, l'Allemagne, les Pays-Bas, etc... decouvrent qu'il y a des backdoors dans Windows ils vont garder Windows sur leurs systemes juste afin que tu ne te doutes de rien, pas grave si les USA peuvent acceder a leur systemes, il est beaucoup plus important que toi tu ne te doutes de rien !
Et c'est pas « tous les gouvernements », arrête de raconter n'importe quoi.
C'est un nombre tres tres large de gouvernements, maintenant si le fait que l'Iran et le Soudan ne sont pas compris dedans te pose un probleme de credibilite, c'est triste.
De plus, à lire le site, on a pas l'air de pouvoir télécharger les sources mais juste les voir depuis un browser (d'où leur super fonctionnalité de recherche dont ils parlent aussi), donc recompilation impossible.
C'est parce que tu as tres mal compris. Ils peuvent telecharger les sources et les recompiler. L'acces a travers un site ne signifie pas qu'ils ne peuvent pas ramener les sources sur leurs systemes et les recompiler. Aucun gouvernement ne serait assez stupide pour accepter un systeme ou ils ne peuvent meme pas verifier ce qu'ils recoivent.
[^] # Re: Argh
Posté par pasBill pasGates . En réponse au journal Xorg 1.8: épatant ?. Évalué à 2.
Peter plus haut que mon cul ? Certainement pas, GeneralZod me demandait si j'avait deja touche un driver pour avoir l'opinion que j'ai, et je lui dit que vu ou je bosses et sur quoi je bossais certainement oui, en quoi cela serait peter plus haut que mon cul ?
Sinon, c'est certainement overrated, apres tout ce n'est que de la programmation avec quelque concepts en plus, rien d'extreme.
en disant qu'une expérience sur une stack IP (et tu excusera tous les linuxiens de pas avoir l'habitude d'appeler une stack IP un driver, mais en même temps si ça te gène c'est le même prix) peut difficilement servir à justifier une espèce "d'autorité" en matière de driver de CG et de l'architecture système d'un GNU/Linux. (bon arrivé à ce point je veux aussi préciser que si ça se trouve je vais avoir l'air totalement ridicule pcq j'aurais loupé un truc, mais en même temps je sais même pas où trouver ton si fameux CV...)
Mon experience sur Linux ne vient pas de cela, mais de ce que je faisais avant d'etre chez MS (et de ce que je fais encore ici ou la) ou mon environnement de 1995 a 2000 etait 100% Linux, et je ne me suis pas arrete en entrant chez MS (bien que cela ait diminue clairement).
Sinon, on parlait de developpement de drivers sous Windows en general (notamment PnP), ce qui n'est pas specifique aux drivers CG.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Oui bien sur, pure speculation. C'est dingue comme il n'y a _jamais_ la moindre preuve quand meme non ? Parce que ajouter ces backdoors reviendrait a le faire dans un service pack, hors les changements sont limites dans les service packs, ca serait plutot facile a voir vu que les gouvernements ont acces aux depots et peuvent voir les changements.
Et sachant également que seulement 90% du code n'est à disposition sauf exceptions http://www.microsoft.com/resources/sharedsource/initiative/f(...) ça laisse de la place...
Non, les gouvernements ont acces a tout, c'est un programme different pour eux : http://www.microsoft.com/resources/sharedsource/gsp.mspx et la ils peuvent avoir acces aux parties crypto, aux sources des outils de developpements(= compilo), etc...
ensuite ce genre de choses n'apporte de sécurité que si les gouvernements en question peuvent recompiler leur windows à leur sauce (et recompiler le compilateur), et surtout installer et utiliser leur propre version en lieu et place des versions préinstallées par les fournisseurs de matériel (et donc ajouter leurs propres patches). Ce dont je doute fort qu'ils aient la possibilité (juridique et technique).
Ils peuvent recompiler leur Windows, ils peuvent verifier avec un desassembleur que le code ressemble au code source, ils peuvent utiliser un debugger pour voir ce qu'il se passe, etc...
C'est tout ce dont ils ont besoin pour verifier qu'il n'y a pas de backdoor, ajouter leurs propre patchs n'entre certainement pas dans ce creneau.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Tu aurais voulu que MS fasse quoi ? Qu'ils donnent un doigt d'honneur a la justice quand ils debarquent avec un mandat ? Moi je croyais que tu voulais que MS respecte la loi non ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 5.
a) En quoi MS est une balance ? Ils donnent eux-meme des infos ? Non, ils donnent un soft, que n'importe qui pourrait ecrire, rien de secret ou de personnel la dedans
b) En quoi c'est etre une balance d'aider la police ? C'est quoi ce comportement debile qui dit qu'il ne faut pas aider la police sinon t'es une balance ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Sachant que tous les gouvernements ont acces aux sources, et qu'ils sont toujours sous Windows, clairement il n'y a pas de probleme, parce que si c'etait vraiment le cas, ca aurait etre tres clairement visible dans les sources et aucun gouvernement n'aurait continue a utiliser Windows a part les USA.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 4.