pasBill pasGates a écrit 16169 commentaires

Marche pas !

Tu lances le soft X, le script change LD_LIBRARY_PATH en rajoutant son propre path, soit au debut soit a la fin.

Ce soft X lance le soft Y, Y herite les variables d'environnement de X, resultat quand tu ajoutes le path local de Y a LD_LIBRARY_PATH tu peux te retrouver avec un conflit potentiel :

a) Y pourrait charger une librairie qui est dans le repertoire de X plutot que dans /usr/lib si tu mets le path local au debut --> faille de securite potentielle
b) Y pourrait charger une librairie dans le repertoire de X plutot que dans celui de Y si tu mets le path local a la fin --> faille de securite potentielle de nouveau

Et tu fais ca comment de maniere automatique pour tous les softs ? Parce que si tu veux mettre les repertoires de tous les softs dans ton LD_LIBRARY_PATH ca va t'exploser a la figure...

Je comprends ce point de vue, cependant, quand j'utilise snprintf

j'ai en général du code autour

C'est justement tout l'interet de ces nouvelles fonctions, avec elles, que tu aies ce code ou pas, tu es protege.

Avec ton code, si par malheur une fois tu oublies, bonjour les degats.

Utiliser des chaines tronqués dans mes codes n'est pas un truc que je puisse me permettre, ou alors j'ai après le snprintf (tout comme avec le strcpy)
chaine[n-1]=0; mais ces cas sont exceptionnels

strlncpy ne tronque pas mais te donne une erreur si l'espace n'est pas suffisant, et si tu ne peux pas te permettre de tronquer, alors ton chaine[n-1]=0 n'est pas une solution, parce que ca revient a tronquer le dernier caractere, sauf si tu passes n-1 comme taille de buffer, mais la ca devient vraiment un bordel le code pour au final faire la meme chose que strnlcpy fait proprement.

Par ca : http://msdn.microsoft.com/en-us/library/wd3wzwts(VS.80).aspx

La difference est que wsprintf ne te garantit pas que ton buffer aura un NULL a la fin dans le cas ou le texte remplit exactement, ou est plus grand que le buffer.

strncpy_s lui te garantit que tu n'auras _jamais_ un cas ou le buffer n'a pas de NULL dans sa taille allouee, si tu passes un count qui est plus grand que la taille de buffer specifiee, il met un NULL au debut du buffer et retourne une erreur.

--> Tu es sur de ne pas te choper un buffer overflow si tu t'amuses a faire un strlen() apres par exemple.

La est toute la difference, et c'est la qu'on voit qu'un gars comme Ulrich Drepper qui considere ces fonctions comme inutiles est un idiot incapable de se remettre en question.

Tu me montreras ou est ce que Gates utilises sa fondation pour parer les critiques de MS. Jusqu'a maintenant il a toujours tenu les 2 separes, ce qui est normal vu qu'ils n'ont rien a voir l'un avec l'autre. MS a sa propre "branche" qui s'occupe d'aide aux pays en developpement et autres, ils ont pas besoin de la fondation Gates pour ca, surtout vu que la fondation Gates s'occupe principalement de traitement des maladies, pas de developpement informatique des pays.

C'est super, mais c'est juste totalement inefficace car il fait une allocation a chaque fois, tu ne peux pas controler la longueur max et il faut se taper le free du buffer a la fin...

Il y a Ulrich Drepper d'un cote, et tout un tas d'experts en developpement de l'autre cote.

Perso, je choisis pas le cote d'Ulrich Drepper, notamment parce que les failles je les vois quasiment toutes de part mon boulot et je ne comptes plus le nombre que j'ai vu a cause de strcpy et autres, et j'ai du mal a compter celles avec les fonctions sures parce que je ne me souviens pas en avoir vu alors qu'elles sont utilisees a peu pres partout dans Vista.

Et ca c'est la pratique, pas la theorie...

A mon avis ca serait un comportement hasardeux...

Il n'y a absolument pas besoin d'implementer GDI pour interpreter du WMF. GDI est UNE implementation, ca veut pas dire que t'es oblige de faire la meme chose.

Quand a l'evolution de WMF, ditto ce que TImaniac a dit, tu t''enleves la couverture de brevets si tu fais ca, de meme que tu t'enleverais la couverture de brevets si tu faisais la meme chose avec ODF.

Puis-je disposer d'autre format d'image vectoriel en restant compatible OOXML ?

Il y a DrawingML

Il n'y a absolument aucun risque a implementer WMF, MS donne une protection niveau brevets la dessus, c'est clairement indique.

C'est vrai quoi, avoir le resultat correct dans une feuille de calcul n'est pas important, ce qui est important c'et que le soft affiche qqe chose, peu importe si c'est faux !

Serieusement, faudra trouver mieux pour incendier MS et Office, eux au moins ne t'affiche pas un faux resultat, ils te disent clairement qu'ils ne savent pas comment l'interpreter.

Le fait qu'il manque des pans entiers a ODF pour etre un format interopable est un fait, personne ici ne peut nier qu'il est impensable d'avoir un standard pour suites office qui ne gere pas les formules, et partant de la ne permet pas l'interop entre tableurs.

Tout comme il est plus qu'evident que la partie encryption d'ODF a ete plus que mal definie et ne repond pas aux besoins de la moitie des gouvernements de la planete.

EMF/WMF est utiliser par les anciens formats .doc , donc il est present dans OOXML, mais il est completement defini par la spec.

Et cela n'a rien a voir avec la transcription d'appels a Windows, tu remarqueras que nombre de softs sous Linux lisent WMF sans probleme.

Ca n'a rien de subjectif : http://testsuite.opendocumentfellowship.com/summary.html

Il est tres clair qu'en 2006 OOo etait tres loin d'etre une implementation de reference ODF, il lui manquait des pans entiers.

mea culpa j'ai melange ctp et beta

Juste histoire de rappeler qu’on ne compare pas la sécurité concernant deux logiciels, OS distribution, ou tout ce que vous voulez, en comptant bêtement le nombre de failles de l’un et de l’autre.

C'est pas le seul element qui compte non, mais c'est un element sacrement important.

D’autant qu’il est relativement facile de se convaincre que l’open source peut voir ce genre de statistiques intrinsèquement plombées (entre autres, pas de sortie fixe d’un produit, la validation et la sécurisation venant avec le temps en suivant le flot de découverte des failles, le code source est totalement accessible et facilite donc la recherche), sans pour autant avoir à faire à des passoires.

Pas du tout d'accord.

a) Les LL ont aussi des versions finales et des betas, comme tout le monde. Si leurs versions finales sont des betas, ca veut dire qu'ils prennent les utilisateurs pour des testeurs, et c'est vraiment pas bon
b) L'enorme majorite des failles est trouvee par fuzzing, sans regarder le code source, car c'est 10x plus simple et rapide.

Pendant des annees ODF n'a pas eu d'implementation correcte, car ce genre de boulot prend du temps, rien d'etonnant a ce qu'il soit de meme ici, le standard a ete vote il y a un an. La beta d'Office 2010 vient d'etre annoncee si tu veux jeter un oeil.

Oui, qui t'as dit que je comparais une distrib entiere a Windows ?

IE et Firefox sont differents ? Les 2 sont des browsers.

Et personne ne parle de comparer une distib entiere a Windows.

Oh mais je suis tres serieux, c'est le meme genre de statistiques qui etaient utilisees ici meme a l'epoque pour dire qu'IE c'etait de la merde lorsque Firefox(aka Mozilla) avait 0.01% de parts de marche

Au final ca s'est mieux passe que j'aurais pu l'imaginer, pas mal de gens semblent comprendre qu'ODF a de serieux problemes et que MS n'est pas plus a blamer que d'autres dans leur implementation.

Il y a le salaire (entre 70-140'000$ selon le niveau), les bonus/assurance maladie/... tu y arrives vite a 200'000$ , et ca n'a rien d'exceptionnel, c'est bien paye oui, mais Google et autres sont dans la meme fourchette et certains payent mieux.

Donnes leur une raison de commencer a supporter il y a 5 ans un format qui non seulement etait totalement inadequat comme on le constate aujourd'hui, mais qui aussi n'etait utilise par personne a l'epoque.

Non ca tombe sous le sens tant que les 2 cotes corrigent les failles, et MS corrige les failles tout comme le monde Linux.

Tu vas sur Secunia et tu comptes, tu comptes aussi les failles critiques/importantes uniquement si tu veux.

Et je parles uniquement pour Windows, il n'y a quasiment aucune difference, pour la simple et bonne raison que tout le monde essaye de trouver des failles dans Firefox pour Windows vu qu'il est 30x plus repandu que sous Linux