Ben comment faire de la sécurité sans pouvoir ajouter son propre patch ? Ne serait-ce que corriger un truc paraissant douteux... D'autant plus qu'il suffit de pas grand-chose pour modifier une adresse quelque part et que tout exploit se vautre en une lamentable segfault...
Un truc qui parait douteux ? Un truc douteux ca n'existe pas, soit c'est un vrai probleme soit ca ne l'est pas. Et trouver si c'est un probleme c'est pas sorcier, il y a plein d'outils d'analyse de code pour avoir la reponse.
Si ils veulent un patch, ils font comme tout le monde : ils nous demandent. Le patch ils pourront voir son code de toute facon.
Sinon le fait de pouvoir vérifier ne veut pas dire qu'il n'y a pas de backdoor insérée... Quand on découvre une faille de sécurité, on peut toujours se poser la question : est-elle là par hasard ? Si je voulais me garder un accès privilégié sur une machine, sans que ça se voie trop (donc pas de faille type "suivant la présence de tel mot-clef, le mail n'est pas scanné par l'antivirus"), je mettrais plein de petites failles apparemment anodines type off-by-one & co de sorte que les quelques-unes qui seront trouvées m'en laisseront d'autres utiles.
Idem pour le libre
Et enfin, le fait d'avoir accès aux sources ne sert pas à grand-chose pour vérifier les failles - on les voit tout aussi bien, voir mieux, dans un binaire où on n'est pas induit en erreur par un langage de haut niveau (à condition d'avoir les bons outils).
Idem pour le libre
L'intérêt de l'accès aux sources est justement de pouvoir les modifier et utiliser les versions modifiées, pas dans une hypothétique recompilation avec les mêmes options pour faire des checks automatiques de code ASM...
L'interet pour toi il est de modifier parce que tu n'as pas de maintenance a faire et tu te fiches de la stabilite de ce que tu fais, c'est pas le cas de plein de gens qui ont autre chose a faire que maintenir un OS entier sans en avoir les competences ou les ressources pour le faire.
la gendarmerie est une petite structure comparée aux armées. En plus, ses besoins informatiques sont assez classiques : postes bureautiques essentiellement, réseau de communication Rubis et réseau pour savoir si une plaque d'immatriculation ne correspond pas à une voiture volée par exemple, mais pas vraiment de gros systèmes d'armes type Marine (http://www.silicon.fr/fr/news/2009/02/09/le_virus_conficker_(...) )...
Ca n'explique toujours pas pourquoi le ministere de la defense(et autres ministeres) ne pourraient pas bouger toute leur bureautique et serveurs sous Linux/Unix ou autres.
Ca fait depuis 2003 qu'ils ont acces aux sources, clairement il n'y a pas eu de mouvement de masse pour le faire.
En face, il y a des rumeurs a la con, n'ayant _aucun_ argument solide.
Bref, faudrait quand meme un peu de serieux avant de lancer des accusations tu crois pas ?
ben les pays ont la sécurité qu'ils peuvent se payer. Le Togo a la sécurité nationale qu'il peut se payer, la France aussi, tout est question de ressources : le coût du changement de tous les processus industriels axés sur le tout Microsoft est énorme. Coût pour le côté technique comme pour le côté politique (décision d'abord, gestion du changement ensuite, etc.).
Ben oui, donc ils ne planifieraient jamais de changer et accepteraient de se faire entuber, meuh oui...
Ils peuvent depenser des milliards pour le Rafale, mais la meme chose pour boucher un trou enorme dans la securite du pays, non. Un peu de serieux svp.
L'administration ne fait pas exception à la règle "on investit dans la sécurité qu'on juge utile", le curseur étant seulement un peu plus loin que pour le gie cartes bancaires lambda (qui l'avait totalement négligée). Ensuite l'ingénieur qui vient dire "hé mais c'est pas sécurisé votre truc", on lui mettra en face le coût technique (argent à investir) et le coût politique (quoi, on se méfie de la NSA qui nous protège des terroristes ?), et il pourra aller se rhabiller.
Mais oui bien sur, dans le meme genre, on va abandonner l'armee francaise, parce qu'au final ca coute tres cher, hein ?
Quand un truc pareil sort, c'est pas un ingenieur qui va gueuler, c'est tout le ministere de la Defense.
pour la gendarmerie la migration vers OpenOffice.org et les produits Mozilla d'abord, puis vers Linux ensuite n'a pas été motivée pour des questions de sécurité mais de choix politique (un général a décidé ça) et surtout de coût (économies de budget réalisées qui ont été investies entre autres pour changer ces vieilles 4L qu'on voit encore rouler de temps en temps).
Bien, et maintenant tu vas m'expliquer pourquoi la Gendarmerie, qui depend du ministere de la Defense, peut faire cela, en reduisant ses couts, mais le ministere de la Defense lui ne peut absolument pas car cela coute enormement cher et c'est politise.
Meuh oui bien sur, on sait tous que la securite nationale ca ne compte pas quand il s'agit de Microsoft hein !
Allez, vous avez rien trouve d'autre comme excuse pour perpetuer ces histoires ?
Il n'y a qu'à voir comme les agences de sécurité (ANSSI française & BSI allemand) se sont fait limite publiquement désavouer par le pouvoir politique quand elles ont recommandé d'utiliser des navigateurs alternatifs à la place d'internet explorer... Le problème du changement n'est pas technique mais politique - par exemple à la gendarmerie nationale, dès qu'un général décide ça a tout de suite du poids !
Moi je te propose d'aller bosser dans une entreprise, et tu comprendras en quoi le probleme est technique (pense au mot ActiveX notamment).
Sinon c'est rigolo, a te lire, on dirait qu'au la gendarmerie c'est possible de changer sans problemes financiers, mais quand une menace a la securite nationale est trouvee, c'est pas possible, tu as comment dire un certain manque de consistence dans tes propos.
Et il faudrait faire confiance aux gouvernements ? Quelle blague.
T'as raison, je suis sur que lorsque la France, l'Allemagne, les Pays-Bas, etc... decouvrent qu'il y a des backdoors dans Windows ils vont garder Windows sur leurs systemes juste afin que tu ne te doutes de rien, pas grave si les USA peuvent acceder a leur systemes, il est beaucoup plus important que toi tu ne te doutes de rien !
Et c'est pas « tous les gouvernements », arrête de raconter n'importe quoi.
C'est un nombre tres tres large de gouvernements, maintenant si le fait que l'Iran et le Soudan ne sont pas compris dedans te pose un probleme de credibilite, c'est triste.
De plus, à lire le site, on a pas l'air de pouvoir télécharger les sources mais juste les voir depuis un browser (d'où leur super fonctionnalité de recherche dont ils parlent aussi), donc recompilation impossible.
C'est parce que tu as tres mal compris. Ils peuvent telecharger les sources et les recompiler. L'acces a travers un site ne signifie pas qu'ils ne peuvent pas ramener les sources sur leurs systemes et les recompiler. Aucun gouvernement ne serait assez stupide pour accepter un systeme ou ils ne peuvent meme pas verifier ce qu'ils recoivent.
arrête un peu de péter plus haut que ton cul pcq tu sais faire du kernel space, alors que tu conviendra que n'importe quel programmeur sérieux trouve rapidement que c'est overrated une fois plongé dedans
Peter plus haut que mon cul ? Certainement pas, GeneralZod me demandait si j'avait deja touche un driver pour avoir l'opinion que j'ai, et je lui dit que vu ou je bosses et sur quoi je bossais certainement oui, en quoi cela serait peter plus haut que mon cul ?
Sinon, c'est certainement overrated, apres tout ce n'est que de la programmation avec quelque concepts en plus, rien d'extreme.
en disant qu'une expérience sur une stack IP (et tu excusera tous les linuxiens de pas avoir l'habitude d'appeler une stack IP un driver, mais en même temps si ça te gène c'est le même prix) peut difficilement servir à justifier une espèce "d'autorité" en matière de driver de CG et de l'architecture système d'un GNU/Linux. (bon arrivé à ce point je veux aussi préciser que si ça se trouve je vais avoir l'air totalement ridicule pcq j'aurais loupé un truc, mais en même temps je sais même pas où trouver ton si fameux CV...)
Mon experience sur Linux ne vient pas de cela, mais de ce que je faisais avant d'etre chez MS (et de ce que je fais encore ici ou la) ou mon environnement de 1995 a 2000 etait 100% Linux, et je ne me suis pas arrete en entrant chez MS (bien que cela ait diminue clairement).
Sinon, on parlait de developpement de drivers sous Windows en general (notamment PnP), ce qui n'est pas specifique aux drivers CG.
à partir de 2003... ce qui a laissé le temps de mettre des backdoors subtiles (dont je parlais dans la suite du paragraphe)
Oui bien sur, pure speculation. C'est dingue comme il n'y a _jamais_ la moindre preuve quand meme non ? Parce que ajouter ces backdoors reviendrait a le faire dans un service pack, hors les changements sont limites dans les service packs, ca serait plutot facile a voir vu que les gouvernements ont acces aux depots et peuvent voir les changements.
Non, les gouvernements ont acces a tout, c'est un programme different pour eux : http://www.microsoft.com/resources/sharedsource/gsp.mspx et la ils peuvent avoir acces aux parties crypto, aux sources des outils de developpements(= compilo), etc...
ensuite ce genre de choses n'apporte de sécurité que si les gouvernements en question peuvent recompiler leur windows à leur sauce (et recompiler le compilateur), et surtout installer et utiliser leur propre version en lieu et place des versions préinstallées par les fournisseurs de matériel (et donc ajouter leurs propres patches). Ce dont je doute fort qu'ils aient la possibilité (juridique et technique).
Ils peuvent recompiler leur Windows, ils peuvent verifier avec un desassembleur que le code ressemble au code source, ils peuvent utiliser un debugger pour voir ce qu'il se passe, etc...
C'est tout ce dont ils ont besoin pour verifier qu'il n'y a pas de backdoor, ajouter leurs propre patchs n'entre certainement pas dans ce creneau.
Et c'est quoi le probleme avec ca ? Il y avait quoi de scandaleux dans ce document ? Qu'est ce que Microsoft fait dans ce document qui va plus loin que ce que la justice demande ?
Tu aurais voulu que MS fasse quoi ? Qu'ils donnent un doigt d'honneur a la justice quand ils debarquent avec un mandat ? Moi je croyais que tu voulais que MS respecte la loi non ?
a) En quoi MS est une balance ? Ils donnent eux-meme des infos ? Non, ils donnent un soft, que n'importe qui pourrait ecrire, rien de secret ou de personnel la dedans
b) En quoi c'est etre une balance d'aider la police ? C'est quoi ce comportement debile qui dit qu'il ne faut pas aider la police sinon t'es une balance ?
Et quand on voit ça http://en.wikipedia.org/wiki/IBM_Lotus_Notes#Security ("workload reduction factor", aka une large partie des clefs de chiffrement est elle-même chiffrée avec une clef de la NSA, comme ça la sécurité est préservée pour tout le monde sauf la NSA), franchement les backdoors faites exprès dans les systèmes propriétaires sont une réalité, pas de la science-fiction. Dans les projets libres, c'est plus difficile, mais laisser ou introduire des failles de sécurité subtiles est relativement facile - même une relecture avisée de code pourra passer à côté d'un off by 1 dans le tas, qui quand on sait qu'il est là peut mener à la création d'un exploit...
Sachant que tous les gouvernements ont acces aux sources, et qu'ils sont toujours sous Windows, clairement il n'y a pas de probleme, parce que si c'etait vraiment le cas, ca aurait etre tres clairement visible dans les sources et aucun gouvernement n'aurait continue a utiliser Windows a part les USA.
Quand a la vie privee de ses clients, tu te plains de quoi ? Que MS offre des softs a la police pour l'aider a resoudre des crimes ? Tu as un probleme avec le fait d'aider la justice ? MS n'offre pas un systeme pour aveuglement prendre les donnees de monsieur tout le monde, c'est une cle USB, donc la police doit deja avoir le PC entre ses mains, ce qui demande un mandat et l'accord d'un juge.
la NSA n'a pas au regard de son passé , accordé beaucoup de garantie au données personnelles et à la vie privée .. (echelon toussa ) , couplé à la puissance de google , il y a qqch de pas très rassurant disont ....
Tu crois que la NSA a besoin de s'associer publiquement a Google pour voir ton e-mail ?
je ne souhaite meme pas évoqué l'affaire du COFFE made in Microsoft , et l'affaire cryptomio récemment sourcé par wikileak
COFFE ? Oh mon dieu, une cle usb pour lire les infos plus facilement d'un disque dur lors d'une investigation, quelle horreure ! Ca a quelque chose d'invasif ? Non, les gens qui l'utilisent ont par definition ta machine entre leurs mains pour l'utiliser, cette cle USB est bien le dernier de tes soucis des lors, et inutile de dire que seuls les polices en ont besoin, bref pour des crimes standards, pour ce qui est de l'espionnage ils ont pas attendu MS pour savoir lire le contenu d'un PC et extraire les elements interessants.
"Cyber-défense : Google pourrait collaborer avec la NSA
La vaste cyber-attaque subie par les infrastructures de Google depuis la Chine intéresse aussi les services secrets américains comme la NSA.
Selon le Washington Post, le groupe Internet pourrait entamer une collaboration avec la plus puissante agence fédérale de renseignements aux Etats-Unis afin d’analyser le vaste assaut informatique observé fin 2009."
Super, et ? La NSA a notamment pour tache la _defense_ , dans le cas de Google vu la quantite de donnees qu'ils ont, c'est normal. D'ailleurs, je me souviens pas t'avoir vu hurler lorsque la NSA s'est mise a bosser sur Linux.
En revanche l'auteur de Groklaw elle doit s'y connaitre en matière de droit et elle n'est pas de ton avis.
Qu'on ne s'y trompe pas, elle en connait probablement un peu plus que moi, mais Groklaw n'est pas un avocat, c'est un paralegal : Aux USA ces gens s'occupent d'ecrire des papiers legaux, ils ne s'occupent pas de la loi elle-meme. En gros, c'est un secretaire pour un avocat.
Bref, elle a surement eu des connaissances de droit basique de par son travail, cela n'en fait pas un avocat tres loin de la. Ma fiancee qui est en train de faire son master de droit en ce moment a plusieurs collegues qui etait paralegal avant. Ils sont dans la meme mouise qu'elle quasiment, ils ne connaissent pas forcement la loi, comment interpreter les choses, etc... Par contre ils savent ecrire un document legal avec les formes qui vont bien, etc...
Il n'y a aucune education demandee pour etre un paralegal par exemple, tu peux avoir ete menuisier et devenir paralegal le jour d'apres. Beaucoup ont suivi un minimum d'etudes, mais c'est pas des etudes de droit, sinon ils seraient avocats (et gagneraient beaucoup plus)
Le seul code sûr est le logiciel libre, où tout un chacun (comprenez, avec le compétences nécessaires) pourra auditer, modifier, tester et améliorer le code.
C'est bien, tu as recite la legende du logiciel libre.
Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
Il y a juste un tout petit probleme a ta theorie... les preuves vont dans l'autre sens. C'est dommage mais a moins que tu en amenes d'autres ce que tu fais c'est encore une fois la definition du FUD
Ah ben voila, tu le dis, il y a des preuves, montres les. Genre tu dois avoir un exemplaire de la lettre de MS a TH c'est ca ?
Hein comment ? Tu te defiles ? Quelle surprise
Au passage si IBM avait vraiment degaine les premiers je suis persuade que TH se serait fait un plaisir de montrer l'email ou la lettre le prouvant de tel sorte a appuyes leurs dires. Ce n'est pas le cas curieusement...
TH a montre ce qu'ils voulaient montrer : la lettre precedente n'aurait rien change pour les gens comme toi qui ne veulent voir que ce qui leur fait plaisir.
Maintenant moi j'ai donne une autre hypothese tout aussi plausible et pour laquelle j'ai autant de preuves que toi c'est a dire aucune. Ce sont juste des presomptions base sur le comportement precedent de Microsoft.
Moi j'ai la lettre de TH qui dit "We also were surprised at the suggestion that our TurboHercules product " et clairement vu comme c'est ecrit (pas les details), c'est une reponse a quelque chose qu'IBM leur a envoye, parce que si c'etait venu de quelqu'un d'autre, il y aurait eu des details pour clarifier ce qu'ils entendent par la.
A dernier point, je ne suis pas haut cadre de TH ou de IBM du coup le tu sais tres bien c'est carrement idiot vu que seul les personnes impliques directement connaissent la plupart des tenants et aboutissant (et encore).
Miracle, un truc ou on est d'accord.
Toutefois les donnees actuellement public ne pointe absolument pas, comme il a fallu que te l'explique patrick (ah la la tes problemes d'oeuilleres commence a te jouer de sacre tour) vers le fait que IBM soit l'agresseur.
Patrck ne m'a rien explique, il a donne son avis sur ce que tu lui a montre et sur mon opinion. C'est pas Dieu non plus hein, son avis n'est pas plus ou moins important que tout autre avis.
Je trouve que tu vas un peu vite en raccourcis entre « microsoft, dans une de ses initiatives, fait un truc correct pour la sécurité » et « microsoft est l'exemple à suivre en matière de sécurité ».
Je ne fais aucun raccourci, car c'est :
a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
b) Il n'est de loin pas le seul a le dire dans la communaute securite
Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.
a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
b) Il n'y a pas de portes derobees
De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
Ca utilise la base de registres, mais c'est pas que ca. En gros, ca s'occupe de gerer la configuration de nombreux parametres des systemes sur le domaine, ces parametres sont notamment dans la base de registre mais pas seulement.
Quand a cfengine, c'est loin des possibilites d'un systeme AD, rien que la possibilite de choisir et filtrer, les conditions de cfengine palissent en comparaison de ce que WMI permet de faire et sa simplicite.
Et on ne parlera pas de l'integration de la chose, pour utiliser cfengine il faut se coltiner tout un langage bizarre, ne pas oublier que les 3/4 de Linux ne se gerent pas avec GConf donc faut y aller au script bien degueu pour changer un element de config, ...
Quand il parle d'assurance, ca n'a pas grand-chose a voir avec certaines des garanties que tu demandes.
Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.
Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
Il n'y a absolument rien d'equivalent a GPO en fonctionnalites sous Linux, c'est d'ailleurs a mon avis le plus gros probleme pour l'administration de desktops Linux en entreprise.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Un truc qui parait douteux ? Un truc douteux ca n'existe pas, soit c'est un vrai probleme soit ca ne l'est pas. Et trouver si c'est un probleme c'est pas sorcier, il y a plein d'outils d'analyse de code pour avoir la reponse.
Si ils veulent un patch, ils font comme tout le monde : ils nous demandent. Le patch ils pourront voir son code de toute facon.
Sinon le fait de pouvoir vérifier ne veut pas dire qu'il n'y a pas de backdoor insérée... Quand on découvre une faille de sécurité, on peut toujours se poser la question : est-elle là par hasard ? Si je voulais me garder un accès privilégié sur une machine, sans que ça se voie trop (donc pas de faille type "suivant la présence de tel mot-clef, le mail n'est pas scanné par l'antivirus"), je mettrais plein de petites failles apparemment anodines type off-by-one & co de sorte que les quelques-unes qui seront trouvées m'en laisseront d'autres utiles.
Idem pour le libre
Et enfin, le fait d'avoir accès aux sources ne sert pas à grand-chose pour vérifier les failles - on les voit tout aussi bien, voir mieux, dans un binaire où on n'est pas induit en erreur par un langage de haut niveau (à condition d'avoir les bons outils).
Idem pour le libre
L'intérêt de l'accès aux sources est justement de pouvoir les modifier et utiliser les versions modifiées, pas dans une hypothétique recompilation avec les mêmes options pour faire des checks automatiques de code ASM...
L'interet pour toi il est de modifier parce que tu n'as pas de maintenance a faire et tu te fiches de la stabilite de ce que tu fais, c'est pas le cas de plein de gens qui ont autre chose a faire que maintenir un OS entier sans en avoir les competences ou les ressources pour le faire.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Ca n'explique toujours pas pourquoi le ministere de la defense(et autres ministeres) ne pourraient pas bouger toute leur bureautique et serveurs sous Linux/Unix ou autres.
Ca fait depuis 2003 qu'ils ont acces aux sources, clairement il n'y a pas eu de mouvement de masse pour le faire.
En face, il y a des rumeurs a la con, n'ayant _aucun_ argument solide.
Bref, faudrait quand meme un peu de serieux avant de lancer des accusations tu crois pas ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Ben oui, donc ils ne planifieraient jamais de changer et accepteraient de se faire entuber, meuh oui...
Ils peuvent depenser des milliards pour le Rafale, mais la meme chose pour boucher un trou enorme dans la securite du pays, non. Un peu de serieux svp.
L'administration ne fait pas exception à la règle "on investit dans la sécurité qu'on juge utile", le curseur étant seulement un peu plus loin que pour le gie cartes bancaires lambda (qui l'avait totalement négligée). Ensuite l'ingénieur qui vient dire "hé mais c'est pas sécurisé votre truc", on lui mettra en face le coût technique (argent à investir) et le coût politique (quoi, on se méfie de la NSA qui nous protège des terroristes ?), et il pourra aller se rhabiller.
Mais oui bien sur, dans le meme genre, on va abandonner l'armee francaise, parce qu'au final ca coute tres cher, hein ?
Quand un truc pareil sort, c'est pas un ingenieur qui va gueuler, c'est tout le ministere de la Defense.
pour la gendarmerie la migration vers OpenOffice.org et les produits Mozilla d'abord, puis vers Linux ensuite n'a pas été motivée pour des questions de sécurité mais de choix politique (un général a décidé ça) et surtout de coût (économies de budget réalisées qui ont été investies entre autres pour changer ces vieilles 4L qu'on voit encore rouler de temps en temps).
Bien, et maintenant tu vas m'expliquer pourquoi la Gendarmerie, qui depend du ministere de la Defense, peut faire cela, en reduisant ses couts, mais le ministere de la Defense lui ne peut absolument pas car cela coute enormement cher et c'est politise.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 1.
Allez, vous avez rien trouve d'autre comme excuse pour perpetuer ces histoires ?
Il n'y a qu'à voir comme les agences de sécurité (ANSSI française & BSI allemand) se sont fait limite publiquement désavouer par le pouvoir politique quand elles ont recommandé d'utiliser des navigateurs alternatifs à la place d'internet explorer... Le problème du changement n'est pas technique mais politique - par exemple à la gendarmerie nationale, dès qu'un général décide ça a tout de suite du poids !
Moi je te propose d'aller bosser dans une entreprise, et tu comprendras en quoi le probleme est technique (pense au mot ActiveX notamment).
Sinon c'est rigolo, a te lire, on dirait qu'au la gendarmerie c'est possible de changer sans problemes financiers, mais quand une menace a la securite nationale est trouvee, c'est pas possible, tu as comment dire un certain manque de consistence dans tes propos.
[^] # Re: Ce n'est pas une guerre!
Posté par pasBill pasGates . En réponse au journal Qui est le plus "efficace" : l'open source ou le logiciel libre?. Évalué à 1.
Oui oui bien sur. Il y a largement assez d'exemples pour montrer que non, le libre ne signifie par superiorite technique.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 0.
T'as raison, je suis sur que lorsque la France, l'Allemagne, les Pays-Bas, etc... decouvrent qu'il y a des backdoors dans Windows ils vont garder Windows sur leurs systemes juste afin que tu ne te doutes de rien, pas grave si les USA peuvent acceder a leur systemes, il est beaucoup plus important que toi tu ne te doutes de rien !
Et c'est pas « tous les gouvernements », arrête de raconter n'importe quoi.
C'est un nombre tres tres large de gouvernements, maintenant si le fait que l'Iran et le Soudan ne sont pas compris dedans te pose un probleme de credibilite, c'est triste.
De plus, à lire le site, on a pas l'air de pouvoir télécharger les sources mais juste les voir depuis un browser (d'où leur super fonctionnalité de recherche dont ils parlent aussi), donc recompilation impossible.
C'est parce que tu as tres mal compris. Ils peuvent telecharger les sources et les recompiler. L'acces a travers un site ne signifie pas qu'ils ne peuvent pas ramener les sources sur leurs systemes et les recompiler. Aucun gouvernement ne serait assez stupide pour accepter un systeme ou ils ne peuvent meme pas verifier ce qu'ils recoivent.
[^] # Re: Argh
Posté par pasBill pasGates . En réponse au journal Xorg 1.8: épatant ?. Évalué à 2.
Peter plus haut que mon cul ? Certainement pas, GeneralZod me demandait si j'avait deja touche un driver pour avoir l'opinion que j'ai, et je lui dit que vu ou je bosses et sur quoi je bossais certainement oui, en quoi cela serait peter plus haut que mon cul ?
Sinon, c'est certainement overrated, apres tout ce n'est que de la programmation avec quelque concepts en plus, rien d'extreme.
en disant qu'une expérience sur une stack IP (et tu excusera tous les linuxiens de pas avoir l'habitude d'appeler une stack IP un driver, mais en même temps si ça te gène c'est le même prix) peut difficilement servir à justifier une espèce "d'autorité" en matière de driver de CG et de l'architecture système d'un GNU/Linux. (bon arrivé à ce point je veux aussi préciser que si ça se trouve je vais avoir l'air totalement ridicule pcq j'aurais loupé un truc, mais en même temps je sais même pas où trouver ton si fameux CV...)
Mon experience sur Linux ne vient pas de cela, mais de ce que je faisais avant d'etre chez MS (et de ce que je fais encore ici ou la) ou mon environnement de 1995 a 2000 etait 100% Linux, et je ne me suis pas arrete en entrant chez MS (bien que cela ait diminue clairement).
Sinon, on parlait de developpement de drivers sous Windows en general (notamment PnP), ce qui n'est pas specifique aux drivers CG.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Oui bien sur, pure speculation. C'est dingue comme il n'y a _jamais_ la moindre preuve quand meme non ? Parce que ajouter ces backdoors reviendrait a le faire dans un service pack, hors les changements sont limites dans les service packs, ca serait plutot facile a voir vu que les gouvernements ont acces aux depots et peuvent voir les changements.
Et sachant également que seulement 90% du code n'est à disposition sauf exceptions http://www.microsoft.com/resources/sharedsource/initiative/f(...) ça laisse de la place...
Non, les gouvernements ont acces a tout, c'est un programme different pour eux : http://www.microsoft.com/resources/sharedsource/gsp.mspx et la ils peuvent avoir acces aux parties crypto, aux sources des outils de developpements(= compilo), etc...
ensuite ce genre de choses n'apporte de sécurité que si les gouvernements en question peuvent recompiler leur windows à leur sauce (et recompiler le compilateur), et surtout installer et utiliser leur propre version en lieu et place des versions préinstallées par les fournisseurs de matériel (et donc ajouter leurs propres patches). Ce dont je doute fort qu'ils aient la possibilité (juridique et technique).
Ils peuvent recompiler leur Windows, ils peuvent verifier avec un desassembleur que le code ressemble au code source, ils peuvent utiliser un debugger pour voir ce qu'il se passe, etc...
C'est tout ce dont ils ont besoin pour verifier qu'il n'y a pas de backdoor, ajouter leurs propre patchs n'entre certainement pas dans ce creneau.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Tu aurais voulu que MS fasse quoi ? Qu'ils donnent un doigt d'honneur a la justice quand ils debarquent avec un mandat ? Moi je croyais que tu voulais que MS respecte la loi non ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 5.
a) En quoi MS est une balance ? Ils donnent eux-meme des infos ? Non, ils donnent un soft, que n'importe qui pourrait ecrire, rien de secret ou de personnel la dedans
b) En quoi c'est etre une balance d'aider la police ? C'est quoi ce comportement debile qui dit qu'il ne faut pas aider la police sinon t'es une balance ?
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 2.
Sachant que tous les gouvernements ont acces aux sources, et qu'ils sont toujours sous Windows, clairement il n'y a pas de probleme, parce que si c'etait vraiment le cas, ca aurait etre tres clairement visible dans les sources et aucun gouvernement n'aurait continue a utiliser Windows a part les USA.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 4.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 0.
Quand a la vie privee de ses clients, tu te plains de quoi ? Que MS offre des softs a la police pour l'aider a resoudre des crimes ? Tu as un probleme avec le fait d'aider la justice ? MS n'offre pas un systeme pour aveuglement prendre les donnees de monsieur tout le monde, c'est une cle USB, donc la police doit deja avoir le PC entre ses mains, ce qui demande un mandat et l'accord d'un juge.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 3.
Tu crois que la NSA a besoin de s'associer publiquement a Google pour voir ton e-mail ?
je ne souhaite meme pas évoqué l'affaire du COFFE made in Microsoft , et l'affaire cryptomio récemment sourcé par wikileak
COFFE ? Oh mon dieu, une cle usb pour lire les infos plus facilement d'un disque dur lors d'une investigation, quelle horreure ! Ca a quelque chose d'invasif ? Non, les gens qui l'utilisent ont par definition ta machine entre leurs mains pour l'utiliser, cette cle USB est bien le dernier de tes soucis des lors, et inutile de dire que seuls les polices en ont besoin, bref pour des crimes standards, pour ce qui est de l'espionnage ils ont pas attendu MS pour savoir lire le contenu d'un PC et extraire les elements interessants.
[^] # Re: Personnellement, je m'en fous
Posté par pasBill pasGates . En réponse au journal The Google problem. Évalué à 4.
La vaste cyber-attaque subie par les infrastructures de Google depuis la Chine intéresse aussi les services secrets américains comme la NSA.
Selon le Washington Post, le groupe Internet pourrait entamer une collaboration avec la plus puissante agence fédérale de renseignements aux Etats-Unis afin d’analyser le vaste assaut informatique observé fin 2009."
Super, et ? La NSA a notamment pour tache la _defense_ , dans le cas de Google vu la quantite de donnees qu'ils ont, c'est normal. D'ailleurs, je me souviens pas t'avoir vu hurler lorsque la NSA s'est mise a bosser sur Linux.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 1.
Qu'on ne s'y trompe pas, elle en connait probablement un peu plus que moi, mais Groklaw n'est pas un avocat, c'est un paralegal : Aux USA ces gens s'occupent d'ecrire des papiers legaux, ils ne s'occupent pas de la loi elle-meme. En gros, c'est un secretaire pour un avocat.
Bref, elle a surement eu des connaissances de droit basique de par son travail, cela n'en fait pas un avocat tres loin de la. Ma fiancee qui est en train de faire son master de droit en ce moment a plusieurs collegues qui etait paralegal avant. Ils sont dans la meme mouise qu'elle quasiment, ils ne connaissent pas forcement la loi, comment interpreter les choses, etc... Par contre ils savent ecrire un document legal avec les formes qui vont bien, etc...
Il n'y a aucune education demandee pour etre un paralegal par exemple, tu peux avoir ete menuisier et devenir paralegal le jour d'apres. Beaucoup ont suivi un minimum d'etudes, mais c'est pas des etudes de droit, sinon ils seraient avocats (et gagneraient beaucoup plus)
[^] # Re: Énorme propagande
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 3.
C'est bien, tu as recite la legende du logiciel libre.
Et maintenant, tu nous expliques comment il se fait qu'en realite c'est pas vrai ?
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 2.
Ah ben voila, tu le dis, il y a des preuves, montres les. Genre tu dois avoir un exemplaire de la lettre de MS a TH c'est ca ?
Hein comment ? Tu te defiles ? Quelle surprise
Au passage si IBM avait vraiment degaine les premiers je suis persuade que TH se serait fait un plaisir de montrer l'email ou la lettre le prouvant de tel sorte a appuyes leurs dires. Ce n'est pas le cas curieusement...
TH a montre ce qu'ils voulaient montrer : la lettre precedente n'aurait rien change pour les gens comme toi qui ne veulent voir que ce qui leur fait plaisir.
Maintenant moi j'ai donne une autre hypothese tout aussi plausible et pour laquelle j'ai autant de preuves que toi c'est a dire aucune. Ce sont juste des presomptions base sur le comportement precedent de Microsoft.
Moi j'ai la lettre de TH qui dit "We also were surprised at the suggestion that our TurboHercules product " et clairement vu comme c'est ecrit (pas les details), c'est une reponse a quelque chose qu'IBM leur a envoye, parce que si c'etait venu de quelqu'un d'autre, il y aurait eu des details pour clarifier ce qu'ils entendent par la.
A dernier point, je ne suis pas haut cadre de TH ou de IBM du coup le tu sais tres bien c'est carrement idiot vu que seul les personnes impliques directement connaissent la plupart des tenants et aboutissant (et encore).
Miracle, un truc ou on est d'accord.
Toutefois les donnees actuellement public ne pointe absolument pas, comme il a fallu que te l'explique patrick (ah la la tes problemes d'oeuilleres commence a te jouer de sacre tour) vers le fait que IBM soit l'agresseur.
Patrck ne m'a rien explique, il a donne son avis sur ce que tu lui a montre et sur mon opinion. C'est pas Dieu non plus hein, son avis n'est pas plus ou moins important que tout autre avis.
[^] # Re: Clarification
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 0.
Je ne fais aucun raccourci, car c'est :
a) Exactement ce qu'il dit, la SDL, c'est purement securite et c'est du lourd, c'est pas une petite initiative, tout produit qu'on sort passe la dedans
b) Il n'est de loin pas le seul a le dire dans la communaute securite
Le modèle sources fermées et portes dérobés intégrés de base des windows, c'est pas un exemple à suivre en matière de sécurité.
a) Les sources fermees ca n'a rien a voir niveau securite, car les sources sont consultables par nombre de gens
b) Il n'y a pas de portes derobees
De toute manière les ingénieurs auront beau s'évertuer d'inventivité pour améliorer la sécurité, au bout il y aura toujours des utilisateurs qui eux n'y comprennent rien (s'en contrefiche d'ailleurs souvent tant qu'ils peuvent voir le ppt avec les chatons) et continuerons à faire n'importe quoi, et surtout ce qu'il ne faut pas.
Ca c'est sur, et le but sera toujours de les encourager a ne pas faire les idiots sans rendre le systeme chiant a utiliser, et c'est pas facile
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 1.
Quand a cfengine, c'est loin des possibilites d'un systeme AD, rien que la possibilite de choisir et filtrer, les conditions de cfengine palissent en comparaison de ce que WMI permet de faire et sa simplicite.
Et on ne parlera pas de l'integration de la chose, pour utiliser cfengine il faut se coltiner tout un langage bizarre, ne pas oublier que les 3/4 de Linux ne se gerent pas avec GConf donc faut y aller au script bien degueu pour changer un element de config, ...
# Clarification
Posté par pasBill pasGates . En réponse à la dépêche Les gouvernements devraient-ils s'abstenir d'externaliser les développements ?. Évalué à 2.
Il parle ici specifiquement de developpement avec la securite et qualite en tete, il ne parle pas de garantir le fonctionnement, simplement de garantir qu'un processus a ete suivi pour le developpement, ca n'exclut pas l'existence de problemes.
Sinon je notes avec sourire qu'il prend lui-aussi ce que fait MS comme exemple a suivre, ca ouvrira peut-etre les yeux de certains ici qui sont ancres dans leur idee que MS et securite sont antinomiques.
[^] # Re: Quel bel amas de merde
Posté par pasBill pasGates . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 1.
Oui bien sur, comme Ballmer et les brevets concernant Linux ?
Tu sais tres bien qui a fait la suggestion, ca te casse juste les couilles de l'admettre.
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 1.
[^] # Re: Le seul truc interressant
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 2.
[^] # Re: Pas de ssh, normal...
Posté par pasBill pasGates . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 4.