Enfin là ça n'a rien à voir avec la correction du code, on demande juste à ce qu'il fasse la même chose que la version précédente. Et là, la compléxité ne me semble pas insurmontable.
Ben si, parce que pour comparer le comportement du code avec ce qu'il faisait avant tu fais quoi ?
Tu ecris des tests qui verifient le comportement, et imagine simplement un API qui prend plusieurs parametres, certains sont des structures, un est un contexte cree par une fonction precedente, contexte qui peut etre dans plusieurs etats differents selon le flux du code, ... tu te rends vite compte que c'est impossible de gerer tous les cas possibles.
Oh si, plus que tu ne peux l'imaginer, ca ne veut pas dire qu'ils couvrent tous les cas possibles et imaginables par contre, verifier qu'un bout de code non-trivial est correct est un probleme d'une complexite enorme et qu'il est impossible de resoudre aujourd'hui.
Pas des patchs prives, si tu recois un patch pour le binaire X, tu recevras ton patch + toutes les modifs qui ont ete faites a ce binaire precedemment, tout comme avec Debian ou autre.
Simplement peu de gens on demande un patch pour ce binaire, resultat personne n'a decouvert le probleme jusqu'a ce que les gens se mettent a tester/installer le service pack, car la la quantite de gens recevant le binaire a cru exponentiellement.
Mais c'est l'ensemble des patchs appliques au systeme. Cette librairie a ete modifiee par une requete d'une societe, on leur a fait un patch, ils ne s'en sont jamais plaint (car ils l'utilisent de maniere differente), on l'a integre dans le service pack, et la il ressort que dans un contexte different, il y a probleme.
XP SP2 etait un cas a part, on y a ajoute des fonctionnalites d'un point de vue securite, mais un service pack c'est les patchs existant mis ensemble et rien d'autre.
Non, ils parlent des gens qui font les patchs quand un probleme dans l'OS nous est remonte, 400-500 employees a plein temps dans ce cas.
Quand au support technique, il est payant dans la plupart des cas, et il est tres loin d'etre inexistant.
Donc non, le support c'est bien plus qu'une feuille A4
Comment un changement dans le code de l'OS peut affecter directement et aussi profondément le comportement d'un logiciel ?
J'avoue, j'ai peu programmé sous dodows, mais le logiciel en question doit quand même faire appel à des bibliothèques qui fournissent des fonctions de plus ou moins haut niveau ...
Ben oui, et le service pack il contient tout cela, le probleme se situe dans une de ces libs de haut niveau.
Quand au changement de comportement, qu'on soit clair, c'est un bug. Pas de manque de documentation en cause, ca n'aurais simplement pas du arriver. Il se trouve que RMS est le seul soft sur lequel (pour l'instant) le bug est expose, raison pour laquelle on ne s'en est rendu compte que maintenant. Le probleme n'est visible que si l'API est utilise d'une certaine maniere.
Quand aux details, je doutes que j'aie l'autorisation de les donner...
C'est les 2 en fait, le soft est victime d'un changement de comportement du code de l'OS, a cause de ce changement de comportement, le soft se comporte d'une facon differente et corrompt les donnees qu'il ecrit.
Les exemples que tu donnes sont mauvais ! Apple mets a jour rsync par rsync, apache_mod_php par apache_mod_php.
Le bug des SP n'est pas une simple "regression" d'une appli tierce mais une perte irrémédiable des données primordiale d'un logiciel de gestion des ventes !! Explique donc aux entreprises qui ont perdu leurs données et une semaine pour tout reinstaller de zero, que c'est une simple "regression" !!
C'est exactement le meme probleme que le cas IBM que j'ai donne : un changement de comportement dans une librairie fait que l'appli se comporte differement. Selon l'appli ca peut causer perte de donnees ou pas. Ici avec RMS c'eest le cas, si tu regardes IBM, les applis faisant appel a cet API pourraient elles aussi corrompre leurs donnees selon la maniere dont elles sont concues.
De toute façon MS est coutumier du fait, n'est-ce pas aussi Microsoft Home Server qui corromp les données des applis MS OneNote 2003/2007, Outlook 2007, Money 2007, Windows Vista Photo Gallery , Windows Live Photo Gallery... ?
Il y avait Home Server oui, les autres je n'en ai pas souvenir.
C'est de ta faute, avec un titre pareil tu m'as fait croire un instant que qq'un avait mis du code GPL dans le SP et que la distribution etait stoppee a cause de cela :+)
The following non-security issues introduced by Security Update 2006-001 are also addressed by this update:
Download Validation: Security Update 2006-001 could cause the user to be warned when provided with certain safe file types, such as Word documents, and folders containing custom icons. These unneeded warnings are removed with this update.
apache_mod_php: A regression in PHP 4.4.1 that could prevent SquirrelMail from functioning is corrected with this update.
rsync: A regression in rsync that prevented the "--delete" command line option from functioning is corrected with this update.
Pour etre precis, ca arrive a tout le monde d'avoir des regressions, surtout quand le soft est gros, que plein de softs sont bases dessus, ... personne n'est parfait et peut tester tous les scenarios possibles, nous non plus.
J'aime beaucoup la conclusion de l'article qui souligne bien que pour un OS ayant osit disant ete re-ecrit a 100% les bugs affectant XP affectent aussi Vista.
Vista n'a jamais ete une reecriture a 100% et MS ne l'a jamais insinue.
Oh ca je sais, d'ou le choix du cas Dell<->Ubuntu , car la plupart des gens sur ce site ne vont pas considerer cette transaction comme suspecte.
J'aurais choisi Vivendi plutot qu'Ubuntu, mon petit doigt me dit que ca n'aurait pas eu le meme effet :+)
Et quand on achète un ordinateur assorti de son système d'exploitation (qu'on est censé pouvoir toujours refuser), n'est-il pas obligatoire d'indiquer le prix des deux produits, plutôt que d'acheter les deux d'un coup avec une part inconnue du prix pour chacun ? :)
Selon la loi francaise il parait que oui, mais ce prix la n'a rien a voir avec le prix que le constructeur paie a MS, tout simplement car le constructeur a une marge sur l'OS, car des societes paient ce constructeur pour mettre leurs softs (Norton, ...) et que donc le prix sans OS, et donc sans ces softs serait different, ...
Ha, et non je ne sais pas combien Dell paie Canonical pour ces Ubuntu sur leurs machines (voir même s'ils payent). La question est pertinente ; je ne sais pas y répondre. Et je serais tout aussi heureux d'en avoir la réponse. :]
Perso je me fiches un peu des deux, mais cet exemple etait la tout simplement pour montrer a quel point c'est une pratique courante et qui n'a rien de suspect.
C'est plus que certain qu'ils sont opaques, tu en connais bcp des societes qui donnent leur prix de vente de gros ?
Tu sais combien Dell paie Ubuntu pour Linux sur ses machines ? Moi non.
Garder ses prix secrets et tout a fait normal, c'est une pratique commerciale tout ce qu'il y a de plus normal.
Maintenant, quand je vois qq'un lancer une accusation, j'imagines qu'il a un minimum d'elements pour etayer son accusation, sinon on part dans la chasse aux sorcieres, et force est de constater qu'il n'a aucun element pour etayer son accusation:
a) Il ne sait pas quel est le prix de revient de XP
b) Il ne sait pas combien Asus paie pour XP sur cette machine
T'arrêtes de mentir ?
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Une est corrigee / en developpement oui.
2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant
Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
Given this is sg:low/dos taking off the blocker list - we'd certainly take a
patch..
Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.
Ce qui montre exactement ce que je dis : cela ne veut _rien_ dire.
Mozilla n'a jamais patche toutes ces vulnerabilites en moyenne en 2.2 jours apres que le bug leur ait ete rapporte.
Ces chiffres sont bases sur le temps entre l'annonce publique du bug et la sortie du patch, hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.
Le lien que tu as donne, il vient directement de la personne qui a trouve le bug, il vient pas de Samba.
Jettes un oeil aux advisories de Redhat, Debian, ... aucune d'elles ne donne la date ou le bug leur a ete rapporte(idem pour MS hein).
La seule maniere, c'est que le gars qui a decouvert la chose se manifeste et donne la date, chose qui est faisable quel que soit l'editeur hein vu que le gars qui trouve la faille ne bosse pas pour eux, mais que peu de gens font(eEye en est un).
Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
Ca lui aurait certainement fait gagner du temps, mais de mon point de vue ca serait plus qu'utile qu'il arrete de copier-coller tout ce qu'il lit sans meme chercher a savoir si c'est vrai ou pas tant que le contenu lui plait.
En ce sens la, le forcer a faire l'effort me semble plus que necessaire, mais visiblement il prefere repeter la meme anerie plusieurs fois(c'est la 2eme fois qu'il le dit, la 2eme fois que je le mets au defi de prouver ses dires et qu'il esquive) plutot que chercher la verite.
Non, ce n'est pas normal, c'est explicable.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.
Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...
Oui et non, le probleme ici c'est comment mesurer cela.
Tu mesures par rapport a la date ou le rapport de bug est fait a RH/Debian/MS/... ? Par rapport au moment ou le gars annonce le bug publiquement(qui pourrait etre 1,2,3,... mois plus tard ou le jour ou il trouve le bug) ?
C'est un exercice assez perilleux, car on n'a aucune idee d'habitude de la date ou le bug a ete rapporte a l'editeur, et se baser sur la difference entre le patch sorti et l'annonce ne vaut pas grand-chose vu que dans la plupart des cas ils coincident.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 3.
Ben si, parce que pour comparer le comportement du code avec ce qu'il faisait avant tu fais quoi ?
Tu ecris des tests qui verifient le comportement, et imagine simplement un API qui prend plusieurs parametres, certains sont des structures, un est un contexte cree par une fonction precedente, contexte qui peut etre dans plusieurs etats differents selon le flux du code, ... tu te rends vite compte que c'est impossible de gerer tous les cas possibles.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 7.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 3.
Simplement peu de gens on demande un patch pour ce binaire, resultat personne n'a decouvert le probleme jusqu'a ce que les gens se mettent a tester/installer le service pack, car la la quantite de gens recevant le binaire a cru exponentiellement.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 1.
XP SP2 etait un cas a part, on y a ajoute des fonctionnalites d'un point de vue securite, mais un service pack c'est les patchs existant mis ensemble et rien d'autre.
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 2.
Quand au support technique, il est payant dans la plupart des cas, et il est tres loin d'etre inexistant.
Donc non, le support c'est bien plus qu'une feuille A4
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 2.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 5.
J'avoue, j'ai peu programmé sous dodows, mais le logiciel en question doit quand même faire appel à des bibliothèques qui fournissent des fonctions de plus ou moins haut niveau ...
Ben oui, et le service pack il contient tout cela, le probleme se situe dans une de ces libs de haut niveau.
Quand au changement de comportement, qu'on soit clair, c'est un bug. Pas de manque de documentation en cause, ca n'aurais simplement pas du arriver. Il se trouve que RMS est le seul soft sur lequel (pour l'instant) le bug est expose, raison pour laquelle on ne s'en est rendu compte que maintenant. Le probleme n'est visible que si l'API est utilise d'une certaine maniere.
Quand aux details, je doutes que j'aie l'autorisation de les donner...
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 2.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 2.
Le bug des SP n'est pas une simple "regression" d'une appli tierce mais une perte irrémédiable des données primordiale d'un logiciel de gestion des ventes !! Explique donc aux entreprises qui ont perdu leurs données et une semaine pour tout reinstaller de zero, que c'est une simple "regression" !!
C'est exactement le meme probleme que le cas IBM que j'ai donne : un changement de comportement dans une librairie fait que l'appli se comporte differement. Selon l'appli ca peut causer perte de donnees ou pas. Ici avec RMS c'eest le cas, si tu regardes IBM, les applis faisant appel a cet API pourraient elles aussi corrompre leurs donnees selon la maniere dont elles sont concues.
De toute façon MS est coutumier du fait, n'est-ce pas aussi Microsoft Home Server qui corromp les données des applis MS OneNote 2003/2007, Outlook 2007, Money 2007, Windows Vista Photo Gallery , Windows Live Photo Gallery... ?
Il y avait Home Server oui, les autres je n'en ai pas souvenir.
[^] # Re: Excellent
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 9.
[^] # Re: Apple , HP ou Sun
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 10.
B) Ca arrive chez Apple aussi : http://docs.info.apple.com/article.html?artnum=303453
The following non-security issues introduced by Security Update 2006-001 are also addressed by this update:
Download Validation: Security Update 2006-001 could cause the user to be warned when provided with certain safe file types, such as Word documents, and folders containing custom icons. These unneeded warnings are removed with this update.
apache_mod_php: A regression in PHP 4.4.1 that could prevent SquirrelMail from functioning is corrected with this update.
rsync: A regression in rsync that prevented the "--delete" command line option from functioning is corrected with this update.
Tout comme IBM : http://blog.vinceschuurman.com/vince/home/ndt4.nsf/(LUBlogCo(...)
Ca arrive chez Mozilla aussi d'ailleurs : http://www.mozillazine.org/talkback.html?article=22741
Pour etre precis, ca arrive a tout le monde d'avoir des regressions, surtout quand le soft est gros, que plein de softs sont bases dessus, ... personne n'est parfait et peut tester tous les scenarios possibles, nous non plus.
[^] # Re: Excellent
Posté par pasBill pasGates . En réponse au journal Victoire de RMS sur Microsoft. Évalué à 7.
Vista n'a jamais ete une reecriture a 100% et MS ne l'a jamais insinue.
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 1.
J'aurais choisi Vivendi plutot qu'Ubuntu, mon petit doigt me dit que ca n'aurait pas eu le meme effet :+)
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 0.
Selon la loi francaise il parait que oui, mais ce prix la n'a rien a voir avec le prix que le constructeur paie a MS, tout simplement car le constructeur a une marge sur l'OS, car des societes paient ce constructeur pour mettre leurs softs (Norton, ...) et que donc le prix sans OS, et donc sans ces softs serait different, ...
Ha, et non je ne sais pas combien Dell paie Canonical pour ces Ubuntu sur leurs machines (voir même s'ils payent). La question est pertinente ; je ne sais pas y répondre. Et je serais tout aussi heureux d'en avoir la réponse. :]
Perso je me fiches un peu des deux, mais cet exemple etait la tout simplement pour montrer a quel point c'est une pratique courante et qui n'a rien de suspect.
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 1.
Mais bon, toujours le meme modus operandi mon cher Albert, poste inutile et provocateur, triste vie que la tienne.
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 1.
Tu sais combien Dell paie Ubuntu pour Linux sur ses machines ? Moi non.
Garder ses prix secrets et tout a fait normal, c'est une pratique commerciale tout ce qu'il y a de plus normal.
Maintenant, quand je vois qq'un lancer une accusation, j'imagines qu'il a un minimum d'elements pour etayer son accusation, sinon on part dans la chasse aux sorcieres, et force est de constater qu'il n'a aucun element pour etayer son accusation:
a) Il ne sait pas quel est le prix de revient de XP
b) Il ne sait pas combien Asus paie pour XP sur cette machine
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à -3.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Une est corrigee / en developpement oui.
2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant
L'autre, c'est simple : https://bugzilla.mozilla.org/show_bug.cgi?id=380994
Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
Given this is sg:low/dos taking off the blocker list - we'd certainly take a
patch..
Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 1.
Mozilla n'a jamais patche toutes ces vulnerabilites en moyenne en 2.2 jours apres que le bug leur ait ete rapporte.
Ces chiffres sont bases sur le temps entre l'annonce publique du bug et la sortie du patch, hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à -1.
Le lien que tu as donne, il vient directement de la personne qui a trouve le bug, il vient pas de Samba.
Jettes un oeil aux advisories de Redhat, Debian, ... aucune d'elles ne donne la date ou le bug leur a ete rapporte(idem pour MS hein).
La seule maniere, c'est que le gars qui a decouvert la chose se manifeste et donne la date, chose qui est faisable quel que soit l'editeur hein vu que le gars qui trouve la faille ne bosse pas pour eux, mais que peu de gens font(eEye en est un).
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 0.
Où tu as vu cette décision ?
Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
[^] # Re: OpenXML - Standard - MS - Compliance
Posté par pasBill pasGates . En réponse au journal Le cauchemar de DarGeek. Évalué à 1.
Ca lui aurait certainement fait gagner du temps, mais de mon point de vue ca serait plus qu'utile qu'il arrete de copier-coller tout ce qu'il lit sans meme chercher a savoir si c'est vrai ou pas tant que le contenu lui plait.
En ce sens la, le forcer a faire l'effort me semble plus que necessaire, mais visiblement il prefere repeter la meme anerie plusieurs fois(c'est la 2eme fois qu'il le dit, la 2eme fois que je le mets au defi de prouver ses dires et qu'il esquive) plutot que chercher la verite.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
Rien a voir _du tout_
Tu jettes un oeil a FireFox 2.0 : http://secunia.com/product/12434/?task=advisories
Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
Tu vas jeter un oeil a Apache 2.0x : http://secunia.com/product/73/
et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.
Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
Tu mesures par rapport a la date ou le rapport de bug est fait a RH/Debian/MS/... ? Par rapport au moment ou le gars annonce le bug publiquement(qui pourrait etre 1,2,3,... mois plus tard ou le jour ou il trouve le bug) ?
C'est un exercice assez perilleux, car on n'a aucune idee d'habitude de la date ou le bug a ete rapporte a l'editeur, et se baser sur la difference entre le patch sorti et l'annonce ne vaut pas grand-chose vu que dans la plupart des cas ils coincident.