Quand a la vie privee de ses clients, tu te plains de quoi ? Que MS offre des softs a la police pour l'aider a resoudre des crimes ? Tu as un probleme avec le fait d'aider la justice ? MS n'offre pas un systeme pour aveuglement prendre les donnees de monsieur tout le monde, c'est une cle USB, donc la police doit deja avoir le PC entre ses mains, ce qui demande un mandat et l'accord d'un juge.
la NSA n'a pas au regard de son passé , accordé beaucoup de garantie au données personnelles et à la vie privée .. (echelon toussa ) , couplé à la puissance de google , il y a qqch de pas très rassurant disont ....
Tu crois que la NSA a besoin de s'associer publiquement a Google pour voir ton e-mail ?
je ne souhaite meme pas évoqué l'affaire du COFFE made in Microsoft , et l'affaire cryptomio récemment sourcé par wikileak
COFFE ? Oh mon dieu, une cle usb pour lire les infos plus facilement d'un disque dur lors d'une investigation, quelle horreure ! Ca a quelque chose d'invasif ? Non, les gens qui l'utilisent ont par definition ta machine entre leurs mains pour l'utiliser, cette cle USB est bien le dernier de tes soucis des lors, et inutile de dire que seuls les polices en ont besoin, bref pour des crimes standards, pour ce qui est de l'espionnage ils ont pas attendu MS pour savoir lire le contenu d'un PC et extraire les elements interessants.
"Cyber-défense : Google pourrait collaborer avec la NSA
La vaste cyber-attaque subie par les infrastructures de Google depuis la Chine intéresse aussi les services secrets américains comme la NSA.
Selon le Washington Post, le groupe Internet pourrait entamer une collaboration avec la plus puissante agence fédérale de renseignements aux Etats-Unis afin d’analyser le vaste assaut informatique observé fin 2009."
Super, et ? La NSA a notamment pour tache la _defense_ , dans le cas de Google vu la quantite de donnees qu'ils ont, c'est normal. D'ailleurs, je me souviens pas t'avoir vu hurler lorsque la NSA s'est mise a bosser sur Linux.
En revanche l'auteur de Groklaw elle doit s'y connaitre en matière de droit et elle n'est pas de ton avis.
Qu'on ne s'y trompe pas, elle en connait probablement un peu plus que moi, mais Groklaw n'est pas un avocat, c'est un paralegal : Aux USA ces gens s'occupent d'ecrire des papiers legaux, ils ne s'occupent pas de la loi elle-meme. En gros, c'est un secretaire pour un avocat.
Bref, elle a surement eu des connaissances de droit basique de par son travail, cela n'en fait pas un avocat tres loin de la. Ma fiancee qui est en train de faire son master de droit en ce moment a plusieurs collegues qui etait paralegal avant. Ils sont dans la meme mouise qu'elle quasiment, ils ne connaissent pas forcement la loi, comment interpreter les choses, etc... Par contre ils savent ecrire un document legal avec les formes qui vont bien, etc...
Il n'y a aucune education demandee pour etre un paralegal par exemple, tu peux avoir ete menuisier et devenir paralegal le jour d'apres. Beaucoup ont suivi un minimum d'etudes, mais c'est pas des etudes de droit, sinon ils seraient avocats (et gagneraient beaucoup plus)
Le seul code sûr est le logiciel libre, où tout un chacun (comprenez, avec le compétences nécessaires) pourra auditer, modifier, tester et améliorer le code.
C'est bien, tu as recite la legende du logiciel libre.
Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
Il y a juste un tout petit probleme a ta theorie... les preuves vont dans l'autre sens. C'est dommage mais a moins que tu en amenes d'autres ce que tu fais c'est encore une fois la definition du FUD
Ah ben voila, tu le dis, il y a des preuves, montres les. Genre tu dois avoir un exemplaire de la lettre de MS a TH c'est ca ?
Hein comment ? Tu te defiles ? Quelle surprise
Au passage si IBM avait vraiment degaine les premiers je suis persuade que TH se serait fait un plaisir de montrer l'email ou la lettre le prouvant de tel sorte a appuyes leurs dires. Ce n'est pas le cas curieusement...
TH a montre ce qu'ils voulaient montrer : la lettre precedente n'aurait rien change pour les gens comme toi qui ne veulent voir que ce qui leur fait plaisir.
Maintenant moi j'ai donne une autre hypothese tout aussi plausible et pour laquelle j'ai autant de preuves que toi c'est a dire aucune. Ce sont juste des presomptions base sur le comportement precedent de Microsoft.
Moi j'ai la lettre de TH qui dit "We also were surprised at the suggestion that our TurboHercules product " et clairement vu comme c'est ecrit (pas les details), c'est une reponse a quelque chose qu'IBM leur a envoye, parce que si c'etait venu de quelqu'un d'autre, il y aurait eu des details pour clarifier ce qu'ils entendent par la.
A dernier point, je ne suis pas haut cadre de TH ou de IBM du coup le tu sais tres bien c'est carrement idiot vu que seul les personnes impliques directement connaissent la plupart des tenants et aboutissant (et encore).
Miracle, un truc ou on est d'accord.
Toutefois les donnees actuellement public ne pointe absolument pas, comme il a fallu que te l'explique patrick (ah la la tes problemes d'oeuilleres commence a te jouer de sacre tour) vers le fait que IBM soit l'agresseur.
Patrck ne m'a rien explique, il a donne son avis sur ce que tu lui a montre et sur mon opinion. C'est pas Dieu non plus hein, son avis n'est pas plus ou moins important que tout autre avis.
Je trouve que tu vas un peu vite en raccourcis entre « microsoft, dans une de ses initiatives, fait un truc correct pour la sécurité » et « microsoft est l'exemple à suivre en matière de sécurité ».
Je ne fais aucun raccourci, car c'est :
a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
b) Il n'est de loin pas le seul a le dire dans la communaute securite
Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.
a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
b) Il n'y a pas de portes derobees
De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
Ca utilise la base de registres, mais c'est pas que ca. En gros, ca s'occupe de gerer la configuration de nombreux parametres des systemes sur le domaine, ces parametres sont notamment dans la base de registre mais pas seulement.
Quand a cfengine, c'est loin des possibilites d'un systeme AD, rien que la possibilite de choisir et filtrer, les conditions de cfengine palissent en comparaison de ce que WMI permet de faire et sa simplicite.
Et on ne parlera pas de l'integration de la chose, pour utiliser cfengine il faut se coltiner tout un langage bizarre, ne pas oublier que les 3/4 de Linux ne se gerent pas avec GConf donc faut y aller au script bien degueu pour changer un element de config, ...
Quand il parle d'assurance, ca n'a pas grand-chose a voir avec certaines des garanties que tu demandes.
Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.
Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
Il n'y a absolument rien d'equivalent a GPO en fonctionnalites sous Linux, c'est d'ailleurs a mon avis le plus gros probleme pour l'administration de desktops Linux en entreprise.
Chez moi ça veut dire "collection de sites faisant autorité".
Moi aussi, mais ca veut pas dire qu'ils font autorite par l'exactitude du contenu, dans le cas present c'est par leur popularite et leur sujet.
Pour moi le site a simplement gagné sa légitimité à travers ses analyses sur les affaires antérieures.
Qu'on se comprenne, je ne dis pas que TOUT ce qu'elle/il dit est des conneries. Mais il y a tres clairement detournement et partialite selon les sujets.
A la lecture des lettres échangées je n'ai pas du tout compris ça. D'ailleurs l'auteur de l'article Groklaw n'est pas d'accord avec toi puisqu'elle écrit : "So it was actually TurboHercules who asked for the list that IBM sent".
Moi je regardes ce que TH a envoye a IBM :
We also were surprised at the suggestion that our TurboHercules product -- which merely relies on Hercules open source emulation software to run z/OS on Intel-based servers -- might infringe certain IBM intellectual property
Clairement, quelqu'un a tape a leur porte et leur a suggere que leur soft pourrait violer des brevets IBM. D'apres toi, ca serait qui ?
Le 1er, pas besoin des sources, il est tres simple d'instrumenter un binaire sans les sources comme ils le font.
Le 2eme lien que tu donnes, c'est un outil qui n'utilise absolument pas les sources, il travaille sur les binaires uniquement en analysant le comportement de l'application lorsque elle processe les donnees, et c'est de tres loin le fuzzer le plus efficace que je connaisse, d'ailleurs je ne le considere meme pas comme un fuzzer, car il est beaucoup, beaucoup, plus intelligent qu'un fuzzer normal.
- Garantie sur l'intégrité des données. Si, en cas d'utilisation normal, les données venaient à se corrompre, Microsoft assume la responsabilité.
Impossible a garantir techniquement. Remarque deja aujourd'hui dans ce genre de cas on essaierait de creer un outil pour extraire les donnees car on est pas des peaux de vache, mais prendre une responsabilite dessus, alors que c'est un truc impossible a garantir techniquement, c'est une tout autre histoire.
Garantie sur les corrections de bug. Si un bug apparaît, la garantie que la correction est effectuée dans un temps X
Et si le bug requiert des changements massifs on fait quoi ? On sort le truc non teste et ont met tout le monde dans la merde ?
Garantie sur le choix matériel/logiciel. Si je prends le matériel Y (spécifié par Microsoft), j'ai une garantie de fonctionnement (donc je peux installer le système dessus depuis un CD/DVD officiel, ça va marcher (pas passer des heures sur le net à trouver une solution)).
MS ne controle pas le matos et les drivers, resultat il ne peut pas garantir cela, et meme si il le controlait, les bugs hardware ca existe et ca ne manque pas car c'est devenu extremement complexe, demande a NVidia et ATI...
Garantie sur la sécurité. Les X attaques connues ont été testées en profondeur et si mon serveur meurt d'une de ces X attaques, Microsoft assume.
T'entends quoi par "attaque connue" ? Si c'est une attaque precise sur un composant precis, possible. Si c'est un type d'attaque general, impossible.
Et ce n'est rien d'exceptionnel là, puisque Microsoft fait déjà se travail mais ne fournis pas de garanties contractuelles sur ces sujets (ou en partie). Je n'ai jamais eu le cas d'un NTFS se corrompre en utilisation normal, faites le pas, garantissez maintenant.
De nouveau, c'est pas possible techniquement de le garantire. La jouer sur les probabilities ? Si on se loupe et ne serait-ce que 1% des machines sont touchees, c'est un million de machines dont on parle...
C'est _TECHNIQUEMENT_ impossible, pas qu'on veuille pas ou que ca coute trop cher, c'est pas possible de garantir qu'un bug ne se produira pas dans un composant donne tout simplement.
The Legal Blawgs Web Archive is a selective collection of authoritative sites (associated with American Bar Association approved law schools, research institutes, think tanks, and other expertise-based organizations) that contain unique, born digital content. These blogs contain journal-style entries, articles and essays, discussions, and comments on emerging legal issues, national and international.
Tu me montresla partie ou ils disent que le contenu est correct et valide ? Ah oui, tu peux pas car ce n'est pas mentionne. Ils parlent du fait que le contenu est unique et sur un certain type de sujet, c'est tout.
Tu vois, la difference entre toi et moi, c'est que moi je recherche et je m'informes avant de poster, ca m'evite de sortir connerie sur connerie et passer pour un clown.
Mais je sais tout ça. Juste que je suis pas d'accord sur "impossibilité technique". Parce que si je peux donner des garanties, pourquoi les autres ne pourraient pas ?
Mais garanties de quoi ?
Garantir que le soft n'a pas de bug, c'est impossible.
Garantir que le soft a ete teste de maniere X ou Y, ca peut se faire j'imagines, mais je vois mal ce que ca changerait par rapport a aujourd'hui, au final t'es dans le meme petrin et tu recois rien.
La grande différence c'est que Microsoft aura des certifications qui attestent que c'est bien le cas (mais pour avoir vécu le passage d'une entreprise en ISO, je suis de moins en moins convaincu, mais ça n'engage que moi) ou, pour rester dans le thème, le "threat modeling" sera appliqué avec, vu les moyens, les meilleures experts du domaine.
C'est deja le cas, il y a un document, ce qu'on appelle SDL chez nous, qui decrit le processus a suivre d'un point de vue securite dans le developpement de soft, il est publique et c'est ce qui est applique en interne, on le dit tres clairement. Quand aux meilleurs experts, c'est deja le cas depuis longtemps, Dan Kaminsky par exemple a passe une bonne partie de son temps chez nous lors du developpement de Vista et c'etait pas le seul, sans parler de nos teams internes qui regorgent de gars extremement competents.
Si t'es pas foutu de remarquer qu'on parlait avec General Zod de drivers dans Windows et leur complexite, pas dans Linux, c'est triste, tu as visiblement un probleme serieux au niveau du cerveau.
Ce que j'appelle driver, c'est ce que tout le monde appelle driver, si t'es pas foutu de comprendre ce que c'est, je te l'ai deja dit, va faire un cours d'introduction a l'informatique, c'est tres simple a comprendre et c'est clairement explique sur le net.
Maintenant si ca te fout les boules d'etre passe pour un con une fois de plus j'y peux rien, la prochaine fois evite simplement de parler de ce que tu connais pas.
Et tu as vu ou que le critere pour cette archive etait l'exactitude du contenu ? Ah oui, nulle part.
Je paries que tu n'as meme pas cherche a savoir ce qu'ils archivaient la dedans hein ? Parce que tu aurais trouve qu'ils archivent un peu tout et n'importe quoi : sites d'organismes religieux, sites politiques, blogs en tout genre, etc... et les criteres n'ont pas grand-chose a voir avec le contenu, et plus avec le sujet du site et sa popularite.
Mais bon, on a vu assez souvent que la recherche d'information c'etait pas ton fort, toi ton doctorat tu l'as eu en desinformation.
Mais meme du cote serveur, ca ne change rien. Prends rien que Kerberos, ce protocole est extremement complexe. On peut aussi parler des bugs qui se trouvent dans le protocole lui-meme, c'est qui le responsable la ? L'IETF ou l'editeur ? Parce que l'editeur il n'a fait que suivre le protocole.
C'est vrai c'est complexe à garantir, mais étrangement il y a des logiciels qui donnent des garanties. Pas sur tout, mais sur des points importants. Prends djbdns, il offre 1000$ à celui qui trouve une faille de sécurité. Ça c'est une garantie.
C'est pas une garantie ca, il dit pas qu'il va payer 1000$ a toute personne affectee par le bug, simplement a celui qui en trouve un, ca n'a absolument rien a voir. Un bug de securite chez MS, ca nous coute largement plus de 1000$ a trouver, ce genre de trucs est ridicule pour nous.
Et finalement ces garanties existent et sont données. Au travail je dois donner des garanties de fonctionnement et tout et tout. Se faisant on devient un peu plus terre-à-terre et c'est exit toutes les solutions où tu as pas un contrôle totale dessus. L'option serait des garanties, mais c'est juste pas assez rentable pour Microsoft.
Dans le monde du soft grand public(et ca inclut les serveurs), personne ne donne ce genre de garantie, *personne*.
C'est pas une histoire de rentabilite, c'est une histoire d'impossibilite technique.
Il n'y a que toi et autres hurluberlus du meme genre pour prendre ce que Groklaw dit pour argent comptant. Il a ete demontre sans discussion possible qu'elle/il racontait n'importe quoi a plusieurs reprises.
Maintenant si tu n'es meme pas capable de lire la 1ere phrase dans la lettre de TH, ecrite sur le site meme que tu cites, et la comprendre, je ne peux rien pour toi, parce que la phrase elle est tres claire.
Que ca m'arrangerait bien ? Moi perso je m'en fous un peu, MS ca l'arrangerait probablement.
Que personne n'en sait rien, ben c'est en partie vrai, mais faut aussi regarder ce qui s'est passe jusqu'a aujourd'hui pour se faire une idee : Ca fait des annees qu'on annonce la percee de Linux sur le desktop, il en est a 1% a peine et n'est clairement pas en train de grimper de maniere serieuse, en 6 mois Windows 7 a atteint 10x plus que Linux a grapille durant son existence.
Est-ce qu'on peut imaginer Linux percer sur le desktop sans un bon support du materiel recent ? Personellement j'en doutes. Resultat, il faut que l'OS supporte de maniere efficace le materiel recent, et pour cela, il faut de bonnes relations avec les constructeurs : il faut qu'ils y trouvent leur interet.
Reste a voir comment leur faire trouver un interet dans un OS qui n'a pas de parts de marche.
Perso je vote pour leur rendre le travail le plus facile possible.
Plus tu deviens connu, plus tu es cible. Dans le cas d'Apache, imagines si le gars avait reussi a mettre une backdoor dans le produit lui-meme, a part le fait qu'il pourrait se faire un fric fou en interceptant toutes les transactions avec carte de credit des nombreux sites utilisant Apache ainsi que username/mot de passes, il aurait son nom(ou son nick) en 1ere page des journaux. Et si ca se trouve, la raison etait tout simplement d'utiliser les serveurs pour du spam.
Quand a la soi-disant campagne de FUD, c'est de la parano a mon avis, je crois que tu ne te rends pas compte du nombre d'attaques qui sont effectuees tous les jours sur le reseau, il te faudrait un nombre enorme de mains pour les compter sur les doigts, que certaines visent les projets libres a succes, c'est un peu normal.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 0.
Quand a la vie privee de ses clients, tu te plains de quoi ? Que MS offre des softs a la police pour l'aider a resoudre des crimes ? Tu as un probleme avec le fait d'aider la justice ? MS n'offre pas un systeme pour aveuglement prendre les donnees de monsieur tout le monde, c'est une cle USB, donc la police doit deja avoir le PC entre ses mains, ce qui demande un mandat et l'accord d'un juge.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 3.
Tu crois que la NSA a besoin de s'associer publiquement a Google pour voir ton e-mail ?
je ne souhaite meme pas évoqué l'affaire du COFFE made in Microsoft , et l'affaire cryptomio récemment sourcé par wikileak
COFFE ? Oh mon dieu, une cle usb pour lire les infos plus facilement d'un disque dur lors d'une investigation, quelle horreure ! Ca a quelque chose d'invasif ? Non, les gens qui l'utilisent ont par definition ta machine entre leurs mains pour l'utiliser, cette cle USB est bien le dernier de tes soucis des lors, et inutile de dire que seuls les polices en ont besoin, bref pour des crimes standards, pour ce qui est de l'espionnage ils ont pas attendu MS pour savoir lire le contenu d'un PC et extraire les elements interessants.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 4.
La vaste cyber-attaque subie par les infrastructures de Google depuis la Chine intéresse aussi les services secrets américains comme la NSA.
Selon le Washington Post, le groupe Internet pourrait entamer une collaboration avec la plus puissante agence fédérale de renseignements aux Etats-Unis afin d’analyser le vaste assaut informatique observé fin 2009."
Super, et ? La NSA a notamment pour tache la _defense_ , dans le cas de Google vu la quantite de donnees qu'ils ont, c'est normal. D'ailleurs, je me souviens pas t'avoir vu hurler lorsque la NSA s'est mise a bosser sur Linux.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 1.
Qu'on ne s'y trompe pas, elle en connait probablement un peu plus que moi, mais Groklaw n'est pas un avocat, c'est un paralegal : Aux USA ces gens s'occupent d'ecrire des papiers legaux, ils ne s'occupent pas de la loi elle-meme. En gros, c'est un secretaire pour un avocat.
Bref, elle a surement eu des connaissances de droit basique de par son travail, cela n'en fait pas un avocat tres loin de la. Ma fiancee qui est en train de faire son master de droit en ce moment a plusieurs collegues qui etait paralegal avant. Ils sont dans la meme mouise qu'elle quasiment, ils ne connaissent pas forcement la loi, comment interpreter les choses, etc... Par contre ils savent ecrire un document legal avec les formes qui vont bien, etc...
Il n'y a aucune education demandee pour etre un paralegal par exemple, tu peux avoir ete menuisier et devenir paralegal le jour d'apres. Beaucoup ont suivi un minimum d'etudes, mais c'est pas des etudes de droit, sinon ils seraient avocats (et gagneraient beaucoup plus)
[^] # Re: Énorme propagande
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 3.
C'est bien, tu as recite la legende du logiciel libre.
Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 2.
Ah ben voila, tu le dis, il y a des preuves, montres les. Genre tu dois avoir un exemplaire de la lettre de MS a TH c'est ca ?
Hein comment ? Tu te defiles ? Quelle surprise
Au passage si IBM avait vraiment degaine les premiers je suis persuade que TH se serait fait un plaisir de montrer l'email ou la lettre le prouvant de tel sorte a appuyes leurs dires. Ce n'est pas le cas curieusement...
TH a montre ce qu'ils voulaient montrer : la lettre precedente n'aurait rien change pour les gens comme toi qui ne veulent voir que ce qui leur fait plaisir.
Maintenant moi j'ai donne une autre hypothese tout aussi plausible et pour laquelle j'ai autant de preuves que toi c'est a dire aucune. Ce sont juste des presomptions base sur le comportement precedent de Microsoft.
Moi j'ai la lettre de TH qui dit "We also were surprised at the suggestion that our TurboHercules product " et clairement vu comme c'est ecrit (pas les details), c'est une reponse a quelque chose qu'IBM leur a envoye, parce que si c'etait venu de quelqu'un d'autre, il y aurait eu des details pour clarifier ce qu'ils entendent par la.
A dernier point, je ne suis pas haut cadre de TH ou de IBM du coup le tu sais tres bien c'est carrement idiot vu que seul les personnes impliques directement connaissent la plupart des tenants et aboutissant (et encore).
Miracle, un truc ou on est d'accord.
Toutefois les donnees actuellement public ne pointe absolument pas, comme il a fallu que te l'explique patrick (ah la la tes problemes d'oeuilleres commence a te jouer de sacre tour) vers le fait que IBM soit l'agresseur.
Patrck ne m'a rien explique, il a donne son avis sur ce que tu lui a montre et sur mon opinion. C'est pas Dieu non plus hein, son avis n'est pas plus ou moins important que tout autre avis.
[^] # Re: Clarification
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 0.
Je ne fais aucun raccourci, car c'est :
a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
b) Il n'est de loin pas le seul a le dire dans la communaute securite
Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.
a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
b) Il n'y a pas de portes derobees
De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 1.
Quand a cfengine, c'est loin des possibilites d'un systeme AD, rien que la possibilite de choisir et filtrer, les conditions de cfengine palissent en comparaison de ce que WMI permet de faire et sa simplicite.
Et on ne parlera pas de l'integration de la chose, pour utiliser cfengine il faut se coltiner tout un langage bizarre, ne pas oublier que les 3/4 de Linux ne se gerent pas avec GConf donc faut y aller au script bien degueu pour changer un element de config, ...
# Clarification
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 2.
Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.
Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 1.
Oui bien sur, comme Ballmer et les brevets concernant Linux ?
Tu sais tres bien qui a fait la suggestion, ca te casse juste les couilles de l'admettre.
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 1.
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 2.
[^] # Re: Pas de ssh, normal...
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 4.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 2.
Moi aussi, mais ca veut pas dire qu'ils font autorite par l'exactitude du contenu, dans le cas present c'est par leur popularite et leur sujet.
Pour moi le site a simplement gagné sa légitimité à travers ses analyses sur les affaires antérieures.
Qu'on se comprenne, je ne dis pas que TOUT ce qu'elle/il dit est des conneries. Mais il y a tres clairement detournement et partialite selon les sujets.
A la lecture des lettres échangées je n'ai pas du tout compris ça. D'ailleurs l'auteur de l'article Groklaw n'est pas d'accord avec toi puisqu'elle écrit : "So it was actually TurboHercules who asked for the list that IBM sent".
Moi je regardes ce que TH a envoye a IBM :
We also were surprised at the suggestion that our TurboHercules product -- which merely relies on Hercules open source emulation software to run z/OS on Intel-based servers -- might infringe certain IBM intellectual property
Clairement, quelqu'un a tape a leur porte et leur a suggere que leur soft pourrait violer des brevets IBM. D'apres toi, ca serait qui ?
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 1.
Le 2eme lien que tu donnes, c'est un outil qui n'utilise absolument pas les sources, il travaille sur les binaires uniquement en analysant le comportement de l'application lorsque elle processe les donnees, et c'est de tres loin le fuzzer le plus efficace que je connaisse, d'ailleurs je ne le considere meme pas comme un fuzzer, car il est beaucoup, beaucoup, plus intelligent qu'un fuzzer normal.
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 3.
Impossible a garantir techniquement. Remarque deja aujourd'hui dans ce genre de cas on essaierait de creer un outil pour extraire les donnees car on est pas des peaux de vache, mais prendre une responsabilite dessus, alors que c'est un truc impossible a garantir techniquement, c'est une tout autre histoire.
Garantie sur les corrections de bug. Si un bug apparaît, la garantie que la correction est effectuée dans un temps X
Et si le bug requiert des changements massifs on fait quoi ? On sort le truc non teste et ont met tout le monde dans la merde ?
Garantie sur le choix matériel/logiciel. Si je prends le matériel Y (spécifié par Microsoft), j'ai une garantie de fonctionnement (donc je peux installer le système dessus depuis un CD/DVD officiel, ça va marcher (pas passer des heures sur le net à trouver une solution)).
MS ne controle pas le matos et les drivers, resultat il ne peut pas garantir cela, et meme si il le controlait, les bugs hardware ca existe et ca ne manque pas car c'est devenu extremement complexe, demande a NVidia et ATI...
Garantie sur la sécurité. Les X attaques connues ont été testées en profondeur et si mon serveur meurt d'une de ces X attaques, Microsoft assume.
T'entends quoi par "attaque connue" ? Si c'est une attaque precise sur un composant precis, possible. Si c'est un type d'attaque general, impossible.
Et ce n'est rien d'exceptionnel là, puisque Microsoft fait déjà se travail mais ne fournis pas de garanties contractuelles sur ces sujets (ou en partie). Je n'ai jamais eu le cas d'un NTFS se corrompre en utilisation normal, faites le pas, garantissez maintenant.
De nouveau, c'est pas possible techniquement de le garantire. La jouer sur les probabilities ? Si on se loupe et ne serait-ce que 1% des machines sont touchees, c'est un million de machines dont on parle...
C'est _TECHNIQUEMENT_ impossible, pas qu'on veuille pas ou que ca coute trop cher, c'est pas possible de garantir qu'un bug ne se produira pas dans un composant donne tout simplement.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 0.
The Legal Blawgs Web Archive is a selective collection of authoritative sites (associated with American Bar Association approved law schools, research institutes, think tanks, and other expertise-based organizations) that contain unique, born digital content. These blogs contain journal-style entries, articles and essays, discussions, and comments on emerging legal issues, national and international.
Tu me montresla partie ou ils disent que le contenu est correct et valide ? Ah oui, tu peux pas car ce n'est pas mentionne. Ils parlent du fait que le contenu est unique et sur un certain type de sujet, c'est tout.
Tu vois, la difference entre toi et moi, c'est que moi je recherche et je m'informes avant de poster, ca m'evite de sortir connerie sur connerie et passer pour un clown.
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 2.
Mais garanties de quoi ?
Garantir que le soft n'a pas de bug, c'est impossible.
Garantir que le soft a ete teste de maniere X ou Y, ca peut se faire j'imagines, mais je vois mal ce que ca changerait par rapport a aujourd'hui, au final t'es dans le meme petrin et tu recois rien.
La grande différence c'est que Microsoft aura des certifications qui attestent que c'est bien le cas (mais pour avoir vécu le passage d'une entreprise en ISO, je suis de moins en moins convaincu, mais ça n'engage que moi) ou, pour rester dans le thème, le "threat modeling" sera appliqué avec, vu les moyens, les meilleures experts du domaine.
C'est deja le cas, il y a un document, ce qu'on appelle SDL chez nous, qui decrit le processus a suivre d'un point de vue securite dans le developpement de soft, il est publique et c'est ce qui est applique en interne, on le dit tres clairement. Quand aux meilleurs experts, c'est deja le cas depuis longtemps, Dan Kaminsky par exemple a passe une bonne partie de son temps chez nous lors du developpement de Vista et c'etait pas le seul, sans parler de nos teams internes qui regorgent de gars extremement competents.
Mais j'appelle pas ca une garantie.
[^] # Re: Argh
Posté par pasBill pasGates . En réponse au journal Xorg 1.8: épatant ?. Évalué à 5.
Ce que j'appelle driver, c'est ce que tout le monde appelle driver, si t'es pas foutu de comprendre ce que c'est, je te l'ai deja dit, va faire un cours d'introduction a l'informatique, c'est tres simple a comprendre et c'est clairement explique sur le net.
Maintenant si ca te fout les boules d'etre passe pour un con une fois de plus j'y peux rien, la prochaine fois evite simplement de parler de ce que tu connais pas.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 0.
Et tu as vu ou que le critere pour cette archive etait l'exactitude du contenu ? Ah oui, nulle part.
Je paries que tu n'as meme pas cherche a savoir ce qu'ils archivaient la dedans hein ? Parce que tu aurais trouve qu'ils archivent un peu tout et n'importe quoi : sites d'organismes religieux, sites politiques, blogs en tout genre, etc... et les criteres n'ont pas grand-chose a voir avec le contenu, et plus avec le sujet du site et sa popularite.
Mais bon, on a vu assez souvent que la recherche d'information c'etait pas ton fort, toi ton doctorat tu l'as eu en desinformation.
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par pasBill pasGates . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 1.
Mais meme du cote serveur, ca ne change rien. Prends rien que Kerberos, ce protocole est extremement complexe. On peut aussi parler des bugs qui se trouvent dans le protocole lui-meme, c'est qui le responsable la ? L'IETF ou l'editeur ? Parce que l'editeur il n'a fait que suivre le protocole.
C'est vrai c'est complexe à garantir, mais étrangement il y a des logiciels qui donnent des garanties. Pas sur tout, mais sur des points importants. Prends djbdns, il offre 1000$ à celui qui trouve une faille de sécurité. Ça c'est une garantie.
C'est pas une garantie ca, il dit pas qu'il va payer 1000$ a toute personne affectee par le bug, simplement a celui qui en trouve un, ca n'a absolument rien a voir. Un bug de securite chez MS, ca nous coute largement plus de 1000$ a trouver, ce genre de trucs est ridicule pour nous.
Et finalement ces garanties existent et sont données. Au travail je dois donner des garanties de fonctionnement et tout et tout. Se faisant on devient un peu plus terre-à-terre et c'est exit toutes les solutions où tu as pas un contrôle totale dessus. L'option serait des garanties, mais c'est juste pas assez rentable pour Microsoft.
Dans le monde du soft grand public(et ca inclut les serveurs), personne ne donne ce genre de garantie, *personne*.
C'est pas une histoire de rentabilite, c'est une histoire d'impossibilite technique.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à -3.
Maintenant si tu n'es meme pas capable de lire la 1ere phrase dans la lettre de TH, ecrite sur le site meme que tu cites, et la comprendre, je ne peux rien pour toi, parce que la phrase elle est tres claire.
[^] # Re: Mesures anti-phishing.
Posté par pasBill pasGates . En réponse au journal Des serveurs de la fondation Apache compromis à cause d'un tinyurl, entre autre.. Évalué à 6.
Selon les cas c'est possible, IE8 le fait(ainsi que le session hijacking), et il ne met pas d'avertissement, il bloque la requete tout simplement. cf. http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-par(...) pour plus d'infos
[^] # Re: Argh
Posté par pasBill pasGates . En réponse au journal Xorg 1.8: épatant ?. Évalué à 1.
Que personne n'en sait rien, ben c'est en partie vrai, mais faut aussi regarder ce qui s'est passe jusqu'a aujourd'hui pour se faire une idee : Ca fait des annees qu'on annonce la percee de Linux sur le desktop, il en est a 1% a peine et n'est clairement pas en train de grimper de maniere serieuse, en 6 mois Windows 7 a atteint 10x plus que Linux a grapille durant son existence.
Est-ce qu'on peut imaginer Linux percer sur le desktop sans un bon support du materiel recent ? Personellement j'en doutes. Resultat, il faut que l'OS supporte de maniere efficace le materiel recent, et pour cela, il faut de bonnes relations avec les constructeurs : il faut qu'ils y trouvent leur interet.
Reste a voir comment leur faire trouver un interet dans un OS qui n'a pas de parts de marche.
Perso je vote pour leur rendre le travail le plus facile possible.
[^] # Re: Tendance de fond ?
Posté par pasBill pasGates . En réponse au journal Des serveurs de la fondation Apache compromis à cause d'un tinyurl, entre autre.. Évalué à 10.
La rancon du succes
Plus tu deviens connu, plus tu es cible. Dans le cas d'Apache, imagines si le gars avait reussi a mettre une backdoor dans le produit lui-meme, a part le fait qu'il pourrait se faire un fric fou en interceptant toutes les transactions avec carte de credit des nombreux sites utilisant Apache ainsi que username/mot de passes, il aurait son nom(ou son nick) en 1ere page des journaux. Et si ca se trouve, la raison etait tout simplement d'utiliser les serveurs pour du spam.
Quand a la soi-disant campagne de FUD, c'est de la parano a mon avis, je crois que tu ne te rends pas compte du nombre d'attaques qui sont effectuees tous les jours sur le reseau, il te faudrait un nombre enorme de mains pour les compter sur les doigts, que certaines visent les projets libres a succes, c'est un peu normal.