Euh, pourquoi présupposes-tu que les contributions externes contiennent forcément des failles ? Quand tu installes un pilote Nvidia sous Windows, tu vas auditer son code ? C'est quand même un gros bout de code qui tourne en espace noyau. Et pour Flash ou Quicktime ?
Si t'es le departement de la defense avec ta propre distrib et tu recois une contrib, t'as une vision des choses un peu differente de l'utilisateur moyen...
Sous Linux, les sources de tous les logiciels sont disponibles et on peut donc auditer le code de Firefox, Gnash, Gstreamer, etc. D'ailleurs, d'autres le font dans le monde entier et ont déjà rapportés de bugs s'ils en ont trouvés ;-)
On *peut*, le probleme c'est la complexite de la tache, si tu sais quel genre de probleme tu cherches et ou, tu vas trouver.
Si je te donnes les 2352 fichiers cpp et te dis "va trouver des failles", tu va vite tomber dans les pommes et tu rateras nombre de failles je te le garantis, je parles d'experience.
J'ai tendance à avoir moins confiance dans les logiciels dont je n'ai pas accès aux sources. Autre nuance entre Windows et Linux : sous Windows, les éditeurs ont souvent des motivations financières. Certains vont jusqu'à se laisser tenter par l'ajout de logiciels espions (envoi d'information, insertion de pub, etc.)
Tu bosses pour le gouvernement russe disons (et tu es d'origine disons... allemande ou belge, histoire que ton nom sonne pas comme une alarme), on te dit que la France a sa propre distrib Linux pour le ministere de la defense.
Ca te viendrait pas a l'idee d'envoyer une contrib ?
Moi oui.
Resultat, la France aura le choix entre faire une analyse de toutes les contrib, ou refuser toutes les contrib.
Ca oui, mais sur le long terme le probleme reste le meme : il est trop couteux et complexe de gerer l'evolution et la maintenance d'un OS d'une taille pareille (= Mac OS X, Linux, Windows) pour meme un pays de taille moyenne, car ca coute extremement cher.
Sur un système libre est ouvert la plus part des failles seront communes... Si par exemple les états unis et la chine utilise linux (une version modifié, pas les mêmes modifs...), s'il y a un bug dans linux et que ce bug affecte ces deux versions, les agences de sureté de ces deux pays devront travailler ensemble (vu qu'ils travaillerons à résoudre les même problématiques) à la correction de cette faille.
Je te donnes une autre vision :
L'equipe chinoise trouve une faille.
Ils la corrigent dans leur version(qu'ils gardent pour eux evidemment) et ne le disent a personne.
Le jour ou ils en ont besoin, boom ils vont l'utiliser sur les systemes americains/francais/...
Si tu crees ta version pour des raisons de securite et d'independance, alors tu ne peux pas te reposer sur les contributions de code externes, relire des grosses contribs pour y trouver des failles qui auraient ete inserees est un vrai cauchemard, les gens a l'exterieur n'ont pas acces a ta version donc bon amusement pour l'integration, ...
Bref, ca oblige rapidement a devoir supporter la plateforme entiere soi-meme.
Mon avis est que la DGSE partage une grosse partie du code Linux avec les distrib "standards" et qu'ils n'ont pas fait grand chose d'autre qu'y mettre leur propre config voire qqe ajouts de softs ou modifications precises.
Tant qu'ils sont pret a faire confiance aux distribs c'est bon, le jour ou ca change, ils seront dans la mouise tout comme si c'etait Windows car ils devront s'occuper eux-meme de l'evolution et de la maintenance de tout le code, et la, bonjour l'explosion des couts et les problemes pour trouver les competences.
Comment dire... des entreprises comme Thales n'ont pas vraiment que les moyens des grosses SSII... ;-)
Beaucoup de systèmes critiques utilisent des OS propriétaires (j'imagine que Thales en a plusieurs en interne, y en a un qui tourne sur l'avionique A380 par exemple) ou même pas d'OS du tout (est-ce qu'un séquenceur est encore un OS ?)
Tout a fait, mais un OS generaliste ca couvre un espace extremement vaste, ca contient une quantite de code bcp plus grande qu'un OS specialise et ca a enormement plus de dependances.
L'equipe qui est en charge de la maintenance chez nous, c'est des centaines de personnes a plein temps avec des experiences bien particulieres, plus une aide reguliere d'autres equipes et un equipement materiel enorme(des milliers de machines, un tas de HW exotique, des machines multiproc, switchs et routeurs de tous bord...).
Et je parles juste de la maintenance la hein, pas du developpement futur de l'OS, la tu rajoutes qqe milliers de gens.
Meme Thales n'aurait pas les reins pour un projet de cette taille, tout simplement car il n'aurait pas un retour suffisant pour payer ce cout uniquement sur le territoire francais.
C'est plutôt cool, on peut penser qu'une partie d'entre-eux remonterons les bugs...
Pas de bol, leur job est justement de les garder bien au chaud en cas de besoin.
Je suppose que les chinois, comme d'autres peuples, souhaitent être en possession d'un système d'exploitation qu'ils contrôlent, qui s'adapte à leur besoin (la censure par exemple), qu'ils peuvent "forker" à tous moment.
C'est sur, et la Chine est un des rares pays qui en a les moyens de par sa masse, il leur faut encore trouver/former des gens ayant les connaissances par contre.
Il n'auront plus à chercher les failles dans le système de leurs concurrents, ils auront à leur disposition un système qui les protège.
Oh oui c'est sur, personne n'ira chercher de failles dans LEUR systeme bien entendu, les americains iront boire des bieres et les francais du vin...
Tu sais, j'ai eu la meme impression dans mon universite en Suisse, j'avais l'impression d'avoir recu une formation loin d'etre bonne et que les profs etaient des glandeurs sans interet pour leur job.
Ensuite je suis parti aux USA, et j'ai vu ce que l'americain moyen recoit comme education, mon avis sur mon universite publique qui ne m'a pas coute un sou a change du tout au tout, finalement ils se debrouillent pas mal a l'uni de Geneve...
A mon avis, il y a un certain effet "l'herbe est plus verte chez le voisin" avec l'enseignement. On voit tous des defauts et on se dit qu'ailleurs c'est different, la realite c'est que les voisins ont souvent des problemes identiques voire pire.
Ouais, aucune armée ne serait assez stupide pour utiliser un système propriétaire qu'elle ne maîtrise pas totalement (sources, indépendance technologique, etc.), connu pour ses dizaines de milliers de virus,non prévu pour l'embarqué critique, etc. Aucune.
Parce que tu crois qu'ils utilisent Windows pour de l'embarque critique ? Mais tu reves mon cher... Les serveurs sharepoint du ministere de la defense ne sont pas des systemes critiques, les ordinateurs de bord des Rafales je peux t'assurer qu'ils ne tournent pas sous Windows, ni sous Linux.
Sinon, ils ont les sources, quand a l'independance technologique, vu qu'ils n'ont tout simplement pas les moyens de maintenir un OS eux-meme, c'est un faux probleme(eh oui, c'est tres complexe et cher a faire, la SSII du coin, meme une grosse n'en a pas les moyens).
Perso ca me fait toujours rire qu'on ramene le choix des militaires au fait qu'il y a des virus sur une plateforme.
Ce qui importe c'est que la plateforme elle meme soit sure, et que les failles soient patchees.
Le nombre de virus sur une plateforme grand public, ca donne une vue sur l'interet de hackers pour leur renommee et du crime organise pour la plateforme, ca ne dit rien sur la securite de la plateforme.
Le jour ou la France passera sur Linux ou MultideskOS ou autre, crois-moi la Chine n'aura pas de probleme a dire a son unite de combat informatique d'arreter de chercher des failles dans Windows et de les chercher dans Linux, ils sont payes pour ca, et au vu des statistiques ils en trouveront tout autant si ce n'est plus.
Faut etre un minimum realiste aussi, le cout de la migration a Linux, c'est pas seulement le port de ce soft/plugin, il y a tout un tas de choses qui entrent en compte.
Faut pas comparer les 8 millions de Vista avec le seul cout du port de ce soft, il y a bcp d'autres choses a prendre en compte du cote de la migration au libre.
Je ne sais pas qui est Matt Miller. Michael Eddington est un officier de sécurité qui abandonné son poste dans Star Trek. Heureusement j'ai trouvé des infos sur Dan Kaminsky. Je ne suis pas développeur de renom ni (malheureusement) de grand talent mais dois-je m'inquiéter de ne pas connaitre ces personnes?
Le salaire n'est pas specifiquement le probleme, j'imagines que je gagnerais a peu pres la meme chose si je bossais pour IBM, voire Redhat ou autre grosse boite, et pas mal plus si je devenais consultant securite.
Il y a plusieurs cotes :
a) Le cote "mon job a un impact" : je vois les resultats de mon boulot dans la presse tous les mois (ca amene aussi son stress, si je merdes, c'est aussi dans la presse...), c'est plutot gratifiant de savoir que ce que tu fais affecte des centaines de millions de gens d'une maniere positive.
b) L'environnement : Je bosses regulierement avec des tetes genre Matt Miller, Dan Kaminsky, Michael Eddington, ...
d) Liberte : J'ai totale liberte de faire a peu pres ce que je veux dans ma position actuelle, mon manager me fait totalement confiance et suit a peu pres tout ce que je propose, et je peux reutiliser tout ce qui existe en interne pour developper de nouveaux outils(une vraie mine d'or), pour que je change de job (y compris a l'interieur de MS), il faudrait que je retrouves cette liberte totale ce qui risque d'etre dur
Ah oui d'ailleurs Microsoft corrige tous les bugs qu'on lui signale, ils sont efficaces là dessus. Pareil pour SAP et je te parle pas des autres gros à qui tu renvoies un rapport de bugs et dont tu peux considérer avoir de la chance si tu as un retour.
Les failles oui si on les considere comme des failles valides, et vu notre reputation dans le monde de la securite(a ne pas confondre avec le monde des fanboys Linux, je parles des gens qui savent ce qu'est une faille), faut croire qu'on fait un bon boulot.
Sinon niveau bugs "non-securite", tu penses quoi des bugs qui datent de plus d'un an dans les bugzillas de Mozilla, OOo, ... ?
Sans parler des atteintes à la liberté d'utilisation caractéristique du type "oui faut utiliser notre soft sur tel os puis telle version de java puis telle lib machin et boire telle marque de café sinon vous êtes hors charte d'utilisation et vous n'aurez pas de support".
T'as raison c'est scandaleux, tu devrais penser a te plaindre a Redhat.
Sinon, le support n'a rien a voir avec la liberte d'utilisation hein...
T'as deux/trois boîtes de dév. avec qui tu travailles qui sont réactives parce qu'elles sont dans un marché de niche et qu'elles te fournissent une appli métier ? Cool, mais ça ne résume pas le monde du logiciel privateur, celui des gros acteurs du marché et des gros contrats de support sans lesquels c'est même pas la peine de contacter le support. Désolé de te sortir de ton contexte limité et de ton jugement biaisé par ton expérience professionnelle/personnelle.
Si on regarde la plus grosse boite de logiciels "privateurs" de la planete, elle fait un bien meilleur boulot qu'a peu pres n'importe qui d'autre dans le domaine, et elle depense certainement bcp plus sur la securite de ses softs que n'importe qui d'autre.
Rigolons un peu mon cher, prends tous les softs qu'il y a dans Debian (ou Fedora, ou autre)
- Combien on eu un threat model developpe ?
- Combien ont eu des code reviews orientees securite faites ?
- Combien ont ete testees par un fuzzer efficace ?
- Combien ont eu leur design revu par un groupe oriente securite ?
Eh oui, on se rend tres tres vite compte qu'en fin de compte, les LL c'est le meme topo que tous les autres logiciels a ce niveau la : les plus gros font un boulot decent car ils se sont rendu compte que sans ca les alertes de securite affluent, les autres sont tous a la meme enseigne: tres peu voire rien, soit car ils ne savent pas que ca existe, soit parce qu'ils s'en foutent, soit parce qu'ils n'en ont pas les moyens(humains, financiers, ...).
Tous les developpements ici doivent suivre la SDL (security development lifecycle) et celle-ci definit les cas dans lesquels du fuzzing est necessaire ce qui d'habitude revient a : si ton interface peut recevoir les donnees d'un utilisateur autre que celui sous lequel il tourne(meme indirectement, quoique on a un concept de "nettoyage des donnees" par les interface intermediaires entre le composant et l'utilisateur qui definit ou cela s'arrete), c'est necessaire.
Ce n'est pas la même menace. Mono et MoonLight sont principalement développé par Novell et Novell peut y foutre des brevets de MS tout en étant tranquille (à cause de l'accord MS/Novell) et en plus ceci interdit aux autres de diffuser Mono et MoonLight (bref, Mono et MoonLight exclusivement pour Novell et MS). Ceci fait courir des risques supplémentaires à tout le monde sauf Novell et MS.
C'est vrai ou c'est faux ? C'est vrai.
C'est 100% faux, Mono et Moonlight etant sous GPL, si Novell met le code, alors ils donnent automatiquement une licence a tout le monde. Quand a mettre du code contenant un brevet MS, la GPL interdit cela vu que pour pouvoir le distribuer ils doivent pouvoir garantir que tout le monde peut utiliser le brevet.
Parce que Novell y contribue énormemment moins propotionnellement.
Et ? Novell n'a aucune importance ici, le code est sous GPL, si Novell met ses brevets dedans, ils filent automatiquement une licence de par le fait qu'ils distribuent.
Sans parler des nombreux autres projets libres auquel Novell contribue enormement et pour lesquels vous n'avez aucun probleme.
Parce qu'ils sont beaucoup plus audité par d'autres que par Novell.
Mouhahaha, tu veux la liste des softs dans Fedora qui sont moins audites que Mono / Moonlight ? J'en ai qqe centaines a te proposer.
Parce qu'ils ne sont pas "protégé" par un accord de non-agression TEMPORAIRE.
Bref, tu confirmes qu'au total, les autres softs sont _moins_ proteges, bref, tu confirmes que c'est une attitude sans aucun sens.
Parce que Novell n'a pas le copyright de Linux et Samba alors qu'il a celui de Mono et MoonLight. C'est-à-dire que novell peut rendre Mono et MoonLight "patent-friendly" (et même totalement proprio et close source) alors qu'il ne peut pas pour Linux et Samba.
Rien a voir, le code etant sous GPL, n'importe qui peut faire un fork sans risque. Mais ca tu le sais tres bien, tu cherches des excuses.
Parce que le MoonLight en téléchargement n'est pas totalement open source et inclut du binaire only (des codecs de MS).
Les sources sont dispo et les codecs sont remplacables par Mplayer, faudra trouver mieux
Et plus spécifiquement pour MoonLight, la FSF a dit qu'il y avait problème. Point barre. De plus, MoonLight n'est pas protégé par OIN. Pas encore tu diras...
Ouais la FSF a parle !!! Mais on sait tous les 2 quel jeu la FSF joue et que leur position n'a pas grand-chose a voir avec la realite, mais plus avec la politique.
Ça te suffit ?
Mais pourquoi j'argumente, vous en a rien à foutre.
Vous demandez pourquoi, mais vous en avez rien à foutre.
Mais mon cher, tes arguments ne tiennent pas, a croire que tu ne comprends pas la GPL
Tu manques la question principale a chaque fois, c'est ca le probleme.
Vous ne voulez pas de Mono/Moonlight car vous avez peur d'un proces de MS vis-a-vis de brevets.
C'est comprehensible.
Le truc, c'est que MS a des brevets sur tout et n'importe quoi, _la meme menace_ est applicable a Samba, le kernel, ... Pourquoi vous n'avez aucun probleme avec ces softs la ?
C'est la ou TImaniac a raison, fondamentalement il n'y a aucune difference entre Moonlight et le reste, car MS dit que Linux enfreint des brevets a droite a gauche(qu'ils aient tort ou raison n'est pas la question, on parle de menace). Bref, Moonlight n'est pas plus menace que le reste.
Chacun ses rêves, moi ce serait plutôt un équivalent d'OOo Draw, tu vois. Avant de penser à faire des diagrammes, pouvoir faire des dessins vectoriels tout simple, ce ne serait pas un luxe.
C'est drole, moi je regardes Word 2007 et je vois qu'il y a tout ce qu'il faut pour des cercles, triangles, carres, lignes, redimensionner, les tourner dans tous les sens, changer les couleurs, transparence, effets 3d, ...
C'est une pratique extremement frequente chez les power users / admin Windows, plutot que devoir installer les trucs separement a chaque installation, ils creent leur image avec tout ce qu'il faut dedans et c'est fini.
Le temps de le faire c'est pas un probleme, c'est facile a faire et ne prend pas bcp de temps, l'idee elle ben c'est comme toute manip en informatique hein, soit tu la connais, soit non.
C'est plutôt le modèle vers lequel tous les traitements de texte cherchent a se rapprocher, et le nier c'est soit ne pas connaitre Latex, auquel cas on n'est pas fautif, soit c'est de la bêtise pur et simple.
Ce qui est drole avec toi, c'est ton assurance. Tu ne savais pas encore ce qu'etait Linux que j'utilisais deja Latex mon bonhomme, ma these d'uni ainsi que nombre de mes rapports ont ete ecrits avec devine quoi... Latex , il y a plus de 10 ans maintenant.
Mais tu peux aussi passer quatre heures a faire des tables de matière a la main quand je passe 1 seconde a taper \tableofcontents pour obtenir un résultat parfait, ou des heures a faire une biblio correctes lorsque \bibliography{Biblio} suffit, table des figures, table des tableaux, des références...Et la pour le coup, c'est pas MS qui est responsable, c'est vrai (enfin si, un peu quand même).
C'est super que tu y arrives en 1 seconde, le probleme c'est que 95% de la population ne sait pas ce qu'est un langage et n'a pas envie de savoir ce que c'est. Il y a bien LyX mais c'est loin d'etre suffisant et aussi efficace que les UI d'OO / Office.
On parlera pas non plus du cote extremement intuitif pour le beotion de devoir compiler son document, essayer de comprendre les erreurs qui apparaissent et qui ne sont pas ecrites pour le pekin moyen, ...
Pourrais tu me citer, s'il te plait, ces features/usabilite/perf qui rendent MSOffice si plus mieux bien que OOo. Pour info OOo démarre chez moi en moins de 2 secondes...
Oh je sais pas, un grammar checker decent par exemple, la correction automatique pour les erreurs d'orthographe frequentes, voire un truc un tant soit peu equivalent a Outlook, Visio je n'oses meme pas en rever. On peut aussi comparer Calc et ses nombreuses limitations(customization des charts, tailles de feuilles, ...) a Excel si tu veux.
Ben j'etais assez stress avant vu l'aura du personnage mais une fois commence ca s'est passe normalement comme si je parlais technique avec n'importe qui d'autre, notes que c'etait pas une revue de gros projet, il etait interesse par ce que je faisais et avait demande a en savoir plus mais c'etait pas un truc ou la societe va investir 500 millions non plus, parait que lors de ces revues la il etait assez aggressif.
Point de vue accessible, ben je l'ai jamais croise dans les couloirs, mais bon, il y a 70 immeubles voire plus ici, et son bureau n'est pas dans le mien, par contre j'ai regulierement croise Dave Cutler pour qui j'ai legerement plus de respect que Gates :+)|
Et ne pas oublier le jogging, une boucle pareille sans routes a traverser, sans feux de croisement, sans gamins en bicyclette, sans pluie ni vent, c'est parfait.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 1.
Si t'es le departement de la defense avec ta propre distrib et tu recois une contrib, t'as une vision des choses un peu differente de l'utilisateur moyen...
Sous Linux, les sources de tous les logiciels sont disponibles et on peut donc auditer le code de Firefox, Gnash, Gstreamer, etc. D'ailleurs, d'autres le font dans le monde entier et ont déjà rapportés de bugs s'ils en ont trouvés ;-)
On *peut*, le probleme c'est la complexite de la tache, si tu sais quel genre de probleme tu cherches et ou, tu vas trouver.
Si je te donnes les 2352 fichiers cpp et te dis "va trouver des failles", tu va vite tomber dans les pommes et tu rateras nombre de failles je te le garantis, je parles d'experience.
J'ai tendance à avoir moins confiance dans les logiciels dont je n'ai pas accès aux sources. Autre nuance entre Windows et Linux : sous Windows, les éditeurs ont souvent des motivations financières. Certains vont jusqu'à se laisser tenter par l'ajout de logiciels espions (envoi d'information, insertion de pub, etc.)
Tu bosses pour le gouvernement russe disons (et tu es d'origine disons... allemande ou belge, histoire que ton nom sonne pas comme une alarme), on te dit que la France a sa propre distrib Linux pour le ministere de la defense.
Ca te viendrait pas a l'idee d'envoyer une contrib ?
Moi oui.
Resultat, la France aura le choix entre faire une analyse de toutes les contrib, ou refuser toutes les contrib.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à -1.
[^] # Re: Est-ce que je dois rire
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Je te donnes une autre vision :
L'equipe chinoise trouve une faille.
Ils la corrigent dans leur version(qu'ils gardent pour eux evidemment) et ne le disent a personne.
Le jour ou ils en ont besoin, boom ils vont l'utiliser sur les systemes americains/francais/...
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Si tu crees ta version pour des raisons de securite et d'independance, alors tu ne peux pas te reposer sur les contributions de code externes, relire des grosses contribs pour y trouver des failles qui auraient ete inserees est un vrai cauchemard, les gens a l'exterieur n'ont pas acces a ta version donc bon amusement pour l'integration, ...
Bref, ca oblige rapidement a devoir supporter la plateforme entiere soi-meme.
Mon avis est que la DGSE partage une grosse partie du code Linux avec les distrib "standards" et qu'ils n'ont pas fait grand chose d'autre qu'y mettre leur propre config voire qqe ajouts de softs ou modifications precises.
Tant qu'ils sont pret a faire confiance aux distribs c'est bon, le jour ou ca change, ils seront dans la mouise tout comme si c'etait Windows car ils devront s'occuper eux-meme de l'evolution et de la maintenance de tout le code, et la, bonjour l'explosion des couts et les problemes pour trouver les competences.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Beaucoup de systèmes critiques utilisent des OS propriétaires (j'imagine que Thales en a plusieurs en interne, y en a un qui tourne sur l'avionique A380 par exemple) ou même pas d'OS du tout (est-ce qu'un séquenceur est encore un OS ?)
Tout a fait, mais un OS generaliste ca couvre un espace extremement vaste, ca contient une quantite de code bcp plus grande qu'un OS specialise et ca a enormement plus de dependances.
L'equipe qui est en charge de la maintenance chez nous, c'est des centaines de personnes a plein temps avec des experiences bien particulieres, plus une aide reguliere d'autres equipes et un equipement materiel enorme(des milliers de machines, un tas de HW exotique, des machines multiproc, switchs et routeurs de tous bord...).
Et je parles juste de la maintenance la hein, pas du developpement futur de l'OS, la tu rajoutes qqe milliers de gens.
Meme Thales n'aurait pas les reins pour un projet de cette taille, tout simplement car il n'aurait pas un retour suffisant pour payer ce cout uniquement sur le territoire francais.
[^] # Re: Est-ce que je dois rire
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 1.
C'est plutôt cool, on peut penser qu'une partie d'entre-eux remonterons les bugs...
Pas de bol, leur job est justement de les garder bien au chaud en cas de besoin.
Je suppose que les chinois, comme d'autres peuples, souhaitent être en possession d'un système d'exploitation qu'ils contrôlent, qui s'adapte à leur besoin (la censure par exemple), qu'ils peuvent "forker" à tous moment.
C'est sur, et la Chine est un des rares pays qui en a les moyens de par sa masse, il leur faut encore trouver/former des gens ayant les connaissances par contre.
Il n'auront plus à chercher les failles dans le système de leurs concurrents, ils auront à leur disposition un système qui les protège.
Oh oui c'est sur, personne n'ira chercher de failles dans LEUR systeme bien entendu, les americains iront boire des bieres et les francais du vin...
[^] # Re: Ecole privée..
Posté par pasBill pasGates . En réponse à la dépêche WinGineer : concours d'algorithmique, avec bourse d'étude d'ingénieur. Évalué à 4.
Ensuite je suis parti aux USA, et j'ai vu ce que l'americain moyen recoit comme education, mon avis sur mon universite publique qui ne m'a pas coute un sou a change du tout au tout, finalement ils se debrouillent pas mal a l'uni de Geneve...
A mon avis, il y a un certain effet "l'herbe est plus verte chez le voisin" avec l'enseignement. On voit tous des defauts et on se dit qu'ailleurs c'est different, la realite c'est que les voisins ont souvent des problemes identiques voire pire.
[^] # Re: Ca va bien avec les couleurs
Posté par pasBill pasGates . En réponse au journal Ubuntu 9.10 sera Karmik Koala. Évalué à 2.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par pasBill pasGates . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 0.
Parce que tu crois qu'ils utilisent Windows pour de l'embarque critique ? Mais tu reves mon cher... Les serveurs sharepoint du ministere de la defense ne sont pas des systemes critiques, les ordinateurs de bord des Rafales je peux t'assurer qu'ils ne tournent pas sous Windows, ni sous Linux.
Sinon, ils ont les sources, quand a l'independance technologique, vu qu'ils n'ont tout simplement pas les moyens de maintenir un OS eux-meme, c'est un faux probleme(eh oui, c'est tres complexe et cher a faire, la SSII du coin, meme une grosse n'en a pas les moyens).
Perso ca me fait toujours rire qu'on ramene le choix des militaires au fait qu'il y a des virus sur une plateforme.
Ce qui importe c'est que la plateforme elle meme soit sure, et que les failles soient patchees.
Le nombre de virus sur une plateforme grand public, ca donne une vue sur l'interet de hackers pour leur renommee et du crime organise pour la plateforme, ca ne dit rien sur la securite de la plateforme.
Le jour ou la France passera sur Linux ou MultideskOS ou autre, crois-moi la Chine n'aura pas de probleme a dire a son unite de combat informatique d'arreter de chercher des failles dans Windows et de les chercher dans Linux, ils sont payes pour ca, et au vu des statistiques ils en trouveront tout autant si ce n'est plus.
[^] # Re: .
Posté par pasBill pasGates . En réponse au journal Red Hat annonce sa stratégie pour la virtualisation. Évalué à 4.
RDP 7 dans Windows 7 / 2008 R2 le supporte, de meme que le remoting DirectX cf. http://www.dabcc.com/article.aspx?id=9284
[^] # Re: le libre et les pouvoirs publics .
Posté par pasBill pasGates . En réponse au journal Le futur de sunbird/lightning : mauvaises nouvelles.... Évalué à 4.
Faut pas comparer les 8 millions de Vista avec le seul cout du port de ce soft, il y a bcp d'autres choses a prendre en compte du cote de la migration au libre.
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 2.
http://www.eweek.com/c/a/Security/Microsoft-Patch-Tuesday-Fi(...)
http://blogs.pcmag.com/securitywatch/2008/12/8_patches_from_(...)
etc...
Je ne sais pas qui est Matt Miller. Michael Eddington est un officier de sécurité qui abandonné son poste dans Star Trek. Heureusement j'ai trouvé des infos sur Dan Kaminsky. Je ne suis pas développeur de renom ni (malheureusement) de grand talent mais dois-je m'inquiéter de ne pas connaitre ces personnes?
Matt Miller (aka Skape) : http://www.hick.org/~mmiller/
Michael Eddington : http://phed.org/ & http://peachfuzzer.com/
Ils sont assez connus dans le monde de la securite, mais vu ce qu'ils font, il est assez normal qu'en dehors de ce monde ils ne le soient pas trop
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 2.
Il y a plusieurs cotes :
a) Le cote "mon job a un impact" : je vois les resultats de mon boulot dans la presse tous les mois (ca amene aussi son stress, si je merdes, c'est aussi dans la presse...), c'est plutot gratifiant de savoir que ce que tu fais affecte des centaines de millions de gens d'une maniere positive.
b) L'environnement : Je bosses regulierement avec des tetes genre Matt Miller, Dan Kaminsky, Michael Eddington, ...
c) Possibilites : J'ai acces a des outils ici qui sont sans commune mesure avec ce qui se trouve ailleurs(petit exemple: ftp://ftp.research.microsoft.com/pub/tr/TR-2007-58.pdf )
d) Liberte : J'ai totale liberte de faire a peu pres ce que je veux dans ma position actuelle, mon manager me fait totalement confiance et suit a peu pres tout ce que je propose, et je peux reutiliser tout ce qui existe en interne pour developper de nouveaux outils(une vraie mine d'or), pour que je change de job (y compris a l'interieur de MS), il faudrait que je retrouves cette liberte totale ce qui risque d'etre dur
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 1.
Les failles oui si on les considere comme des failles valides, et vu notre reputation dans le monde de la securite(a ne pas confondre avec le monde des fanboys Linux, je parles des gens qui savent ce qu'est une faille), faut croire qu'on fait un bon boulot.
Sinon niveau bugs "non-securite", tu penses quoi des bugs qui datent de plus d'un an dans les bugzillas de Mozilla, OOo, ... ?
Sans parler des atteintes à la liberté d'utilisation caractéristique du type "oui faut utiliser notre soft sur tel os puis telle version de java puis telle lib machin et boire telle marque de café sinon vous êtes hors charte d'utilisation et vous n'aurez pas de support".
T'as raison c'est scandaleux, tu devrais penser a te plaindre a Redhat.
Sinon, le support n'a rien a voir avec la liberte d'utilisation hein...
T'as deux/trois boîtes de dév. avec qui tu travailles qui sont réactives parce qu'elles sont dans un marché de niche et qu'elles te fournissent une appli métier ? Cool, mais ça ne résume pas le monde du logiciel privateur, celui des gros acteurs du marché et des gros contrats de support sans lesquels c'est même pas la peine de contacter le support. Désolé de te sortir de ton contexte limité et de ton jugement biaisé par ton expérience professionnelle/personnelle.
Si on regarde la plus grosse boite de logiciels "privateurs" de la planete, elle fait un bien meilleur boulot qu'a peu pres n'importe qui d'autre dans le domaine, et elle depense certainement bcp plus sur la securite de ses softs que n'importe qui d'autre.
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 1.
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 5.
- Combien on eu un threat model developpe ?
- Combien ont eu des code reviews orientees securite faites ?
- Combien ont ete testees par un fuzzer efficace ?
- Combien ont eu leur design revu par un groupe oriente securite ?
Eh oui, on se rend tres tres vite compte qu'en fin de compte, les LL c'est le meme topo que tous les autres logiciels a ce niveau la : les plus gros font un boulot decent car ils se sont rendu compte que sans ca les alertes de securite affluent, les autres sont tous a la meme enseigne: tres peu voire rien, soit car ils ne savent pas que ca existe, soit parce qu'ils s'en foutent, soit parce qu'ils n'en ont pas les moyens(humains, financiers, ...).
[^] # Re: Un indispensable du cycle de développement
Posté par pasBill pasGates . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 4.
[^] # Re: Red Hat ?
Posté par pasBill pasGates . En réponse à la dépêche Partenariat entre Red Hat et Microsoft sur la virtualisation. Évalué à 1.
C'est vrai ou c'est faux ? C'est vrai.
C'est 100% faux, Mono et Moonlight etant sous GPL, si Novell met le code, alors ils donnent automatiquement une licence a tout le monde. Quand a mettre du code contenant un brevet MS, la GPL interdit cela vu que pour pouvoir le distribuer ils doivent pouvoir garantir que tout le monde peut utiliser le brevet.
Parce que Novell y contribue énormemment moins propotionnellement.
Et ? Novell n'a aucune importance ici, le code est sous GPL, si Novell met ses brevets dedans, ils filent automatiquement une licence de par le fait qu'ils distribuent.
Sans parler des nombreux autres projets libres auquel Novell contribue enormement et pour lesquels vous n'avez aucun probleme.
Parce qu'ils sont beaucoup plus audité par d'autres que par Novell.
Mouhahaha, tu veux la liste des softs dans Fedora qui sont moins audites que Mono / Moonlight ? J'en ai qqe centaines a te proposer.
Parce qu'ils ne sont pas "protégé" par un accord de non-agression TEMPORAIRE.
Bref, tu confirmes qu'au total, les autres softs sont _moins_ proteges, bref, tu confirmes que c'est une attitude sans aucun sens.
Parce que Novell n'a pas le copyright de Linux et Samba alors qu'il a celui de Mono et MoonLight. C'est-à-dire que novell peut rendre Mono et MoonLight "patent-friendly" (et même totalement proprio et close source) alors qu'il ne peut pas pour Linux et Samba.
Rien a voir, le code etant sous GPL, n'importe qui peut faire un fork sans risque. Mais ca tu le sais tres bien, tu cherches des excuses.
Parce que le MoonLight en téléchargement n'est pas totalement open source et inclut du binaire only (des codecs de MS).
Les sources sont dispo et les codecs sont remplacables par Mplayer, faudra trouver mieux
Et plus spécifiquement pour MoonLight, la FSF a dit qu'il y avait problème. Point barre. De plus, MoonLight n'est pas protégé par OIN. Pas encore tu diras...
Ouais la FSF a parle !!! Mais on sait tous les 2 quel jeu la FSF joue et que leur position n'a pas grand-chose a voir avec la realite, mais plus avec la politique.
Ça te suffit ?
Mais pourquoi j'argumente, vous en a rien à foutre.
Vous demandez pourquoi, mais vous en avez rien à foutre.
Mais mon cher, tes arguments ne tiennent pas, a croire que tu ne comprends pas la GPL
[^] # Re: Red Hat ?
Posté par pasBill pasGates . En réponse à la dépêche Partenariat entre Red Hat et Microsoft sur la virtualisation. Évalué à 1.
Vous ne voulez pas de Mono/Moonlight car vous avez peur d'un proces de MS vis-a-vis de brevets.
C'est comprehensible.
Le truc, c'est que MS a des brevets sur tout et n'importe quoi, _la meme menace_ est applicable a Samba, le kernel, ... Pourquoi vous n'avez aucun probleme avec ces softs la ?
C'est la ou TImaniac a raison, fondamentalement il n'y a aucune difference entre Moonlight et le reste, car MS dit que Linux enfreint des brevets a droite a gauche(qu'ils aient tort ou raison n'est pas la question, on parle de menace). Bref, Moonlight n'est pas plus menace que le reste.
[^] # Re: Le probleme
Posté par pasBill pasGates . En réponse à la dépêche Microsoft, marketing et éducation. Évalué à 0.
C'est drole, moi je regardes Word 2007 et je vois qu'il y a tout ce qu'il faut pour des cercles, triangles, carres, lignes, redimensionner, les tourner dans tous les sens, changer les couleurs, transparence, effets 3d, ...
[^] # Re: Explications?
Posté par pasBill pasGates . En réponse au journal SPICE libéré ! (bientôt). Évalué à 1.
Le temps de le faire c'est pas un probleme, c'est facile a faire et ne prend pas bcp de temps, l'idee elle ben c'est comme toute manip en informatique hein, soit tu la connais, soit non.
[^] # Re: Donc...
Posté par pasBill pasGates . En réponse au journal L'expérience utilisateur Windows de Bill Gates. Évalué à 2.
[^] # Re: Le probleme
Posté par pasBill pasGates . En réponse à la dépêche Microsoft, marketing et éducation. Évalué à 1.
Ce qui est drole avec toi, c'est ton assurance. Tu ne savais pas encore ce qu'etait Linux que j'utilisais deja Latex mon bonhomme, ma these d'uni ainsi que nombre de mes rapports ont ete ecrits avec devine quoi... Latex , il y a plus de 10 ans maintenant.
Mais tu peux aussi passer quatre heures a faire des tables de matière a la main quand je passe 1 seconde a taper \tableofcontents pour obtenir un résultat parfait, ou des heures a faire une biblio correctes lorsque \bibliography{Biblio} suffit, table des figures, table des tableaux, des références...Et la pour le coup, c'est pas MS qui est responsable, c'est vrai (enfin si, un peu quand même).
C'est super que tu y arrives en 1 seconde, le probleme c'est que 95% de la population ne sait pas ce qu'est un langage et n'a pas envie de savoir ce que c'est. Il y a bien LyX mais c'est loin d'etre suffisant et aussi efficace que les UI d'OO / Office.
On parlera pas non plus du cote extremement intuitif pour le beotion de devoir compiler son document, essayer de comprendre les erreurs qui apparaissent et qui ne sont pas ecrites pour le pekin moyen, ...
Pourrais tu me citer, s'il te plait, ces features/usabilite/perf qui rendent MSOffice si plus mieux bien que OOo. Pour info OOo démarre chez moi en moins de 2 secondes...
Oh je sais pas, un grammar checker decent par exemple, la correction automatique pour les erreurs d'orthographe frequentes, voire un truc un tant soit peu equivalent a Outlook, Visio je n'oses meme pas en rever. On peut aussi comparer Calc et ses nombreuses limitations(customization des charts, tailles de feuilles, ...) a Excel si tu veux.
[^] # Re: Donc...
Posté par pasBill pasGates . En réponse au journal L'expérience utilisateur Windows de Bill Gates. Évalué à 6.
Point de vue accessible, ben je l'ai jamais croise dans les couloirs, mais bon, il y a 70 immeubles voire plus ici, et son bureau n'est pas dans le mien, par contre j'ai regulierement croise Dave Cutler pour qui j'ai legerement plus de respect que Gates :+)|
[^] # Re: Oui mais ...
Posté par pasBill pasGates . En réponse au journal Qui va gagner la course au Higgs ?. Évalué à 5.