C'est plus que certain qu'ils sont opaques, tu en connais bcp des societes qui donnent leur prix de vente de gros ?
Tu sais combien Dell paie Ubuntu pour Linux sur ses machines ? Moi non.
Garder ses prix secrets et tout a fait normal, c'est une pratique commerciale tout ce qu'il y a de plus normal.
Maintenant, quand je vois qq'un lancer une accusation, j'imagines qu'il a un minimum d'elements pour etayer son accusation, sinon on part dans la chasse aux sorcieres, et force est de constater qu'il n'a aucun element pour etayer son accusation:
a) Il ne sait pas quel est le prix de revient de XP
b) Il ne sait pas combien Asus paie pour XP sur cette machine
T'arrêtes de mentir ?
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Une est corrigee / en developpement oui.
2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant
Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
Given this is sg:low/dos taking off the blocker list - we'd certainly take a
patch..
Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.
Ce qui montre exactement ce que je dis : cela ne veut _rien_ dire.
Mozilla n'a jamais patche toutes ces vulnerabilites en moyenne en 2.2 jours apres que le bug leur ait ete rapporte.
Ces chiffres sont bases sur le temps entre l'annonce publique du bug et la sortie du patch, hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.
Le lien que tu as donne, il vient directement de la personne qui a trouve le bug, il vient pas de Samba.
Jettes un oeil aux advisories de Redhat, Debian, ... aucune d'elles ne donne la date ou le bug leur a ete rapporte(idem pour MS hein).
La seule maniere, c'est que le gars qui a decouvert la chose se manifeste et donne la date, chose qui est faisable quel que soit l'editeur hein vu que le gars qui trouve la faille ne bosse pas pour eux, mais que peu de gens font(eEye en est un).
Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
Ca lui aurait certainement fait gagner du temps, mais de mon point de vue ca serait plus qu'utile qu'il arrete de copier-coller tout ce qu'il lit sans meme chercher a savoir si c'est vrai ou pas tant que le contenu lui plait.
En ce sens la, le forcer a faire l'effort me semble plus que necessaire, mais visiblement il prefere repeter la meme anerie plusieurs fois(c'est la 2eme fois qu'il le dit, la 2eme fois que je le mets au defi de prouver ses dires et qu'il esquive) plutot que chercher la verite.
Non, ce n'est pas normal, c'est explicable.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.
Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...
Oui et non, le probleme ici c'est comment mesurer cela.
Tu mesures par rapport a la date ou le rapport de bug est fait a RH/Debian/MS/... ? Par rapport au moment ou le gars annonce le bug publiquement(qui pourrait etre 1,2,3,... mois plus tard ou le jour ou il trouve le bug) ?
C'est un exercice assez perilleux, car on n'a aucune idee d'habitude de la date ou le bug a ete rapporte a l'editeur, et se baser sur la difference entre le patch sorti et l'annonce ne vaut pas grand-chose vu que dans la plupart des cas ils coincident.
Si c'est tout a fait normal, mais tu es libre d'aller expliquer a Mozilla, Apache, MS, ... que tu es meilleur juge qu'eux quand a la severite de ces problemes, mon petit doigt me dit qu'ils te riront tous au nez, et c'est normal, car on(Apache, Mozilla, nous, ...) fait ce boulot depuis des annees et on sait comment juger une vuln. et decide si et quand elle doit etre corrigee.
e trouve assez rigolo de voir que des failles sont non corriges (et je me moque du degre de vulnerabilite, une faille c'est une faille) pour cet OS qui coute excessivement cher et qui a un support en proportion inverse a son prix.
Genial, en fait tout ce qui t'interesse c'est de compter, sans regarder la substance. Que la faille n'en soit pas vraiment une n'est qu'un detail.
Bref, tes posts sont toujours aussi interessants et constructifs.
Je pense pas que cela ait a voir avec l'OS lui-meme, le nombre de defacages dus a une faille de l'OS sont probablement tres faibles compare au reste, si les gens avaient fait tourner Apache sur Windows et IIS sur Linux, tu te serais probablement retrouve avec les chiffres inverses.
Oh ca je sais, mais en theorie la repartition des problemes dans des pages ASP / PHP / ... est probablement similaire, les gens ne font pas forcement plus d'erreurs quand ils font du PHP avec Apache que de l'ASP avec IIS ou vice-versa.
Bref, les chiffres en absolus ne veulent rien dire, mais le ratio lui signifie qqe chose.
C'est rigolo ca doit etre le fait de la popularite de IIS par rapport a Apache qui fait que ce genre de probleme n'arrive qu'avec les logiciel de cette boite!
Softs "grand public" : 5 ans minimum apres fin de la vente du produit
Softs "business / developpeur" : 5 ans minimum apres la fin de la vente du produit + 5 ans de support reduit (patchs securite, support technique, patchs non-securite par contrat,...)
Bref, XP a encore au moins 10 ans de support devant lui (5+5 vu que XP Pro est un soft business).
Sous Windows, tu as le droit de t'approprier un fichier mais tu ne peux pas le rendre a son propriétaire. Windows a été conçu pour protéger les utilisateurs de l'administrateur. Ainsi, l'admin ne peut pas prendre un fichier que l'utilisateur ne veut pas qu'il prennne sans qu'il le sache (changement du propriétaire a sens unique).
Pour su, tu me sors runas ! Cela n'a rien à voir, vas faire un runas sous admin pour lancer un executable sous le compte toto ! Cela ne marche pas car tu n'as pas le ticket kerberos. Tu es obligé d'avoir le mot de passe de toto. Comment tu fait pour avoir des services qui tournerait sur un parc de 100 machine sous un compte toto sans que celui-ci n'ai le même mot de passe, tu déploie comment ?
Ah, j'ai mal compris ce que tu demandais effectivement.
Ben tu crees un compte local sur chaque machine et tu generes le mot de passe de maniere aleatoire pour chaque machine, mot de passe que tu utilises quand tu specifies le compte sous lequel le service demarre. A faire une fois (assez simple a faire avec WMI) et c'est tout.
Sinon, il y a deja les comptes LocalService et NetworkService que tu peux utiliser, la moitie des services sous Windows tournent avec un de ces 2 comptes, pas avec LocalSystem.
Je viens de tomber sur un bogue bien étrange avec pskill.exe ! Et des spécialistes Windows autour de moi n'y comprennent rien ! Le compte SYSTEM n'est pas un vrai compte car il n'a pas de ruche... C'est toi qui est mauvaise langue, il y a des choses parfois bizarre lorsqu'on lance des choses sous SYSTEM à cause de cela. Mais lancer des trucs sous SYSTEM est une des seules méthodes pour les lancer sans avoir à stocker le mot de passe dans le registre...
C'est quoi une ruche ?
Sinon il y a les comptes LocalService et NetworkService qui sont fait pour ca hein.
Quand au mot de passe , il est encrypte et accessible uniquement au systeme(si t'es admin tu peux l'avoir, mais si t'es admin tu peux faire ce que tu veux donc pas grave), bref si tu arrives la le lire, c'est que t'es deja admin sur la machine, pas tres utile.
Sinon, c'est quoi le bug ?
Tu vas me dire, les logiciels sont mal fait. Je te dis oui et c'est mal fait car le système d'ACL est trop complexe et que, n'ayant pas de sudo et de su correct, les dévelppeurs sont tous admin de leur poste. Bilan, c'est mal dévleloppé et cela, depuis des années... heureusement, les choses de ce coté là aussi sont moins pire qu'il y a quelques années..
Desole mais sudo / su sont a peu pres inutiles pour le developpeur moyen, Visual Studio, un debuggeur, ... tournent sans probleme en user local, tu lances une console ou autre avec runas.exe, tu peux ensuite lancer tes softs en admin(ou autre) si necessaire, mais dans la plupart des cas(applis non-systeme) c'est totalement inutile car l'appli tourne en user local.
Le probleme c'est que bcp de gens, y compris developpeurs, sont passes directement de Win9x a la lignee NT et ont amenes leurs habitudes avec eux. MS 'est mis a casser leurs habitudes avec UAC sur Vista, car leurs softs continuent de tourner mais il y a des pop-ups (voulez-vous autoriser xyz), et resultat les utilisateurs se plaignent aux developpeurs qui doivent fixer leurs softs.
Enfin, sur la finition de XP, il n'y a pas d'onglet sécurité sur XP Pro ! Ce n'est que lorsque tu intègre XP pro en domaine que tout change et que tu te retrouves avec une interface comme 2000.
Nope, il y a un bouton qui te demande si tu veux les permissions ou pas. Ma machine a la maison n'est pas dans un domaine, et j'ai mon tab de permissions avec les ACLs dedans.
Un probleme est que la plupart du spam que je recois est ecrit d'une maniere specifique pour eviter les scanners utilisant des dictionnaires.
Typiquement :
A dult plutot que adult
amatteur plutot que amateur
etc...
A noter qu'il y a des algos (ceux utilises par les dicos d'ailleurs) permettant de trouver la "distance" entre les mots, une possibilite serait de regarder l'ensemble des mots avec une distance < X et evaluer si ces mots sont interdits.
Le modèle UNIX a des variables d'environnement attachées aux processus et qui s'hérite de père en fils, mais non l'inverse. Un fils ne peut influencer le fils d'un autre processus. Cette indépendance est fondamentale pour la stabilité et la simplicité de l'ensemble et c'est pourquoi je déteste gconf. Lorsque je modifie un paramêtre important, je préfère relancer les applications. En plus, cela n'arrive pas souvent.
Sous Windows, les variables d'environnement sont globales par utilisateurs, voir pour le système. D'ailleurs, tout cela est stockée dans la base de registre qui est un énorme système de variable globale. C'est exactement ce que l'on déconseille à tout programmeur.
Altering the environment variables of a child process during process creation is the only way one process can directly change the environment variables of another process. A process can never directly change the environment variables of another process that is not a child of that process.
Sous UNIX, root avait (c'est en train de changer) tous les pouvoirs, ce n'est pas le cas sous Windows. Sous Windows, le root ne peut pas faire un chown...
Sous Windows, avec le système kerberos, on n'a pas de système équivalent a su, sudo... Bref de bit suid. Bilan, c'est une usine à gaz et une vrai daube lorsqu'on veut lancer en batch des choses sous un autre compte.
Equivalent de su : runas.exe
sudo il n'y a pas d'equivalent par defaut, mais ca existe separament
Et tu m'expliqueras le rapport entre su et des services tournant sous root...
Je ne parle pas du compte SYSTEM qui existe sans exister et dont les scripts .bat ont un comportement parfois plus qu'étrange...
Perso, et au vu de ta meconnaissance du systeme, je pencherai pour une autre explication.
Surtout qu'encore une fois, les ACL de Windows sont une telle usine à gaz qu'il y a tant de réglage possible que je n'ai pas encore rencontré une seule personne capable de faire des réglages beaucoup plus pointus que s'il y avait 4 ou 5 réglages possibles, comme sous UNIX ! La encore Windows à tuer les ACL avec leur complexité.
Que tu ne les comprennes pas ne veut pas dire que personne ne les comprend. Il suffit de comprendre que les ACE sont executees dans l'ordre et que l'evaluation stoppe a la premier entree qui match pour comprendre comment ca fonctionne ,ca n'a rien de sorcier.
D'ailleurs, lorsqu'on n'est pas en domaine, Microsoft a préféré les cacher aux utilisateurs, c'est tout dire.
Effectivement, ca en dit long sur la finition de Windows pour le desktop, car ta grand-mere (et la mienne) n'ont aucune idee de ce qu'est une permission.
Au passage, tu noteras que Windows XP Pro n'a pas cette configuration, c'est uniquement la version Home.
Bref, je te conseille de lire le bouquin "Windows Internals" ...
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 1.
Mais bon, toujours le meme modus operandi mon cher Albert, poste inutile et provocateur, triste vie que la tienne.
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à 1.
Tu sais combien Dell paie Ubuntu pour Linux sur ses machines ? Moi non.
Garder ses prix secrets et tout a fait normal, c'est une pratique commerciale tout ce qu'il y a de plus normal.
Maintenant, quand je vois qq'un lancer une accusation, j'imagines qu'il a un minimum d'elements pour etayer son accusation, sinon on part dans la chasse aux sorcieres, et force est de constater qu'il n'a aucun element pour etayer son accusation:
a) Il ne sait pas quel est le prix de revient de XP
b) Il ne sait pas combien Asus paie pour XP sur cette machine
[^] # Re: XP gratuit
Posté par pasBill pasGates . En réponse au journal Suite bureautique : microsoft passe au gratuit. Évalué à -3.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Une est corrigee / en developpement oui.
2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant
L'autre, c'est simple : https://bugzilla.mozilla.org/show_bug.cgi?id=380994
Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
Given this is sg:low/dos taking off the blocker list - we'd certainly take a
patch..
Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 1.
Mozilla n'a jamais patche toutes ces vulnerabilites en moyenne en 2.2 jours apres que le bug leur ait ete rapporte.
Ces chiffres sont bases sur le temps entre l'annonce publique du bug et la sortie du patch, hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à -1.
Le lien que tu as donne, il vient directement de la personne qui a trouve le bug, il vient pas de Samba.
Jettes un oeil aux advisories de Redhat, Debian, ... aucune d'elles ne donne la date ou le bug leur a ete rapporte(idem pour MS hein).
La seule maniere, c'est que le gars qui a decouvert la chose se manifeste et donne la date, chose qui est faisable quel que soit l'editeur hein vu que le gars qui trouve la faille ne bosse pas pour eux, mais que peu de gens font(eEye en est un).
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 0.
Où tu as vu cette décision ?
Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
[^] # Re: OpenXML - Standard - MS - Compliance
Posté par pasBill pasGates . En réponse au journal Le cauchemar de DarGeek. Évalué à 1.
Ca lui aurait certainement fait gagner du temps, mais de mon point de vue ca serait plus qu'utile qu'il arrete de copier-coller tout ce qu'il lit sans meme chercher a savoir si c'est vrai ou pas tant que le contenu lui plait.
En ce sens la, le forcer a faire l'effort me semble plus que necessaire, mais visiblement il prefere repeter la meme anerie plusieurs fois(c'est la 2eme fois qu'il le dit, la 2eme fois que je le mets au defi de prouver ses dires et qu'il esquive) plutot que chercher la verite.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
Rien a voir _du tout_
Tu jettes un oeil a FireFox 2.0 : http://secunia.com/product/12434/?task=advisories
Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
Tu vas jeter un oeil a Apache 2.0x : http://secunia.com/product/73/
et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.
Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
Tu mesures par rapport a la date ou le rapport de bug est fait a RH/Debian/MS/... ? Par rapport au moment ou le gars annonce le bug publiquement(qui pourrait etre 1,2,3,... mois plus tard ou le jour ou il trouve le bug) ?
C'est un exercice assez perilleux, car on n'a aucune idee d'habitude de la date ou le bug a ete rapporte a l'editeur, et se baser sur la difference entre le patch sorti et l'annonce ne vaut pas grand-chose vu que dans la plupart des cas ils coincident.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à -1.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
IIS 6 http://secunia.com/product/1438/?task=advisories
5 vulnerabilites, 1 niveau 4, 2 niveau 3, toutes patchees
Apache 2.x http://secunia.com/product/73/?task=advisories
37 vulnerabilites, 2 niveau 4, 10 niveau 3, 4 non patchees (ce qui ne veut rien dire, car ces 4 ne sont pas des vuln. reellement importantes)
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à -2.
a) Est plus attaque
b) A plus de sites defaces
c) A plus de vulnerabilites reportees
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à -7.
Genial, en fait tout ce qui t'interesse c'est de compter, sans regarder la substance. Que la faille n'en soit pas vraiment une n'est qu'un detail.
Bref, tes posts sont toujours aussi interessants et constructifs.
En passant, Ubuntu inclut Firefox ? Parce que http://secunia.com/product/12434/
marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.
Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!
Vraiment, tes piques pourraves on s'en fout, tu ne fais que renforcer ton image de guignol avec ton comportement de gamin ecervele.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 1.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à 0.
Bref, les chiffres en absolus ne veulent rien dire, mais le ratio lui signifie qqe chose.
# Toujours le meme amas de conneries
Posté par pasBill pasGates . En réponse au journal Faites confiance a Microsoft. Évalué à -8.
http://www.zone-h.org/content/view/14928/30/
Webserver defaced
Year 2005 Year 2006 Year 2007
Apache 308.281 486.294 319.439
IIS/6.0 72.338 180.926 113.935
IIS/5.0 99.616 66.304 23.664
319000 contre 136000
Un ratio bien plus eleve que le ratio Apache / IIS
Tu es un veritable champion mon cher Albert
[^] # Re: <mode desabusé=on>
Posté par pasBill pasGates . En réponse au journal Le projet OLPC va virer Linux pour ne tourner que sous Windows.. Évalué à 5.
La regle est :
Softs "grand public" : 5 ans minimum apres fin de la vente du produit
Softs "business / developpeur" : 5 ans minimum apres la fin de la vente du produit + 5 ans de support reduit (patchs securite, support technique, patchs non-securite par contrat,...)
Bref, XP a encore au moins 10 ans de support devant lui (5+5 vu que XP Pro est un soft business).
[^] # Re: SMACK
Posté par pasBill pasGates . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 1.
Sisi tu peux : http://wwwthep.physik.uni-mainz.de/~frink/chown/readme.html
Pour su, tu me sors runas ! Cela n'a rien à voir, vas faire un runas sous admin pour lancer un executable sous le compte toto ! Cela ne marche pas car tu n'as pas le ticket kerberos. Tu es obligé d'avoir le mot de passe de toto. Comment tu fait pour avoir des services qui tournerait sur un parc de 100 machine sous un compte toto sans que celui-ci n'ai le même mot de passe, tu déploie comment ?
Ah, j'ai mal compris ce que tu demandais effectivement.
Ben tu crees un compte local sur chaque machine et tu generes le mot de passe de maniere aleatoire pour chaque machine, mot de passe que tu utilises quand tu specifies le compte sous lequel le service demarre. A faire une fois (assez simple a faire avec WMI) et c'est tout.
Sinon, il y a deja les comptes LocalService et NetworkService que tu peux utiliser, la moitie des services sous Windows tournent avec un de ces 2 comptes, pas avec LocalSystem.
Je viens de tomber sur un bogue bien étrange avec pskill.exe ! Et des spécialistes Windows autour de moi n'y comprennent rien ! Le compte SYSTEM n'est pas un vrai compte car il n'a pas de ruche... C'est toi qui est mauvaise langue, il y a des choses parfois bizarre lorsqu'on lance des choses sous SYSTEM à cause de cela. Mais lancer des trucs sous SYSTEM est une des seules méthodes pour les lancer sans avoir à stocker le mot de passe dans le registre...
C'est quoi une ruche ?
Sinon il y a les comptes LocalService et NetworkService qui sont fait pour ca hein.
Quand au mot de passe , il est encrypte et accessible uniquement au systeme(si t'es admin tu peux l'avoir, mais si t'es admin tu peux faire ce que tu veux donc pas grave), bref si tu arrives la le lire, c'est que t'es deja admin sur la machine, pas tres utile.
Sinon, c'est quoi le bug ?
Tu vas me dire, les logiciels sont mal fait. Je te dis oui et c'est mal fait car le système d'ACL est trop complexe et que, n'ayant pas de sudo et de su correct, les dévelppeurs sont tous admin de leur poste. Bilan, c'est mal dévleloppé et cela, depuis des années... heureusement, les choses de ce coté là aussi sont moins pire qu'il y a quelques années..
Desole mais sudo / su sont a peu pres inutiles pour le developpeur moyen, Visual Studio, un debuggeur, ... tournent sans probleme en user local, tu lances une console ou autre avec runas.exe, tu peux ensuite lancer tes softs en admin(ou autre) si necessaire, mais dans la plupart des cas(applis non-systeme) c'est totalement inutile car l'appli tourne en user local.
Le probleme c'est que bcp de gens, y compris developpeurs, sont passes directement de Win9x a la lignee NT et ont amenes leurs habitudes avec eux. MS 'est mis a casser leurs habitudes avec UAC sur Vista, car leurs softs continuent de tourner mais il y a des pop-ups (voulez-vous autoriser xyz), et resultat les utilisateurs se plaignent aux developpeurs qui doivent fixer leurs softs.
Enfin, sur la finition de XP, il n'y a pas d'onglet sécurité sur XP Pro ! Ce n'est que lorsque tu intègre XP pro en domaine que tout change et que tu te retrouves avec une interface comme 2000.
Nope, il y a un bouton qui te demande si tu veux les permissions ou pas. Ma machine a la maison n'est pas dans un domaine, et j'ai mon tab de permissions avec les ACLs dedans.
[^] # Re: <mode desabusé=on>
Posté par pasBill pasGates . En réponse au journal Le projet OLPC va virer Linux pour ne tourner que sous Windows.. Évalué à 0.
# aurtho grafe
Posté par pasBill pasGates . En réponse au journal Antispam pour blog et forum. Évalué à 6.
Typiquement :
A dult plutot que adult
amatteur plutot que amateur
etc...
A noter qu'il y a des algos (ceux utilises par les dicos d'ailleurs) permettant de trouver la "distance" entre les mots, une possibilite serait de regarder l'ensemble des mots avec une distance < X et evaluer si ces mots sont interdits.
[^] # Re: SMACK
Posté par pasBill pasGates . En réponse à la dépêche Le noyau Linux 2.6.25 est disponible. Évalué à 1.
Sous Windows, les variables d'environnement sont globales par utilisateurs, voir pour le système. D'ailleurs, tout cela est stockée dans la base de registre qui est un énorme système de variable globale. C'est exactement ce que l'on déconseille à tout programmeur.
Tu as tout faux. http://msdn2.microsoft.com/en-us/library/ms682009.aspx
Altering the environment variables of a child process during process creation is the only way one process can directly change the environment variables of another process. A process can never directly change the environment variables of another process that is not a child of that process.
Sous UNIX, root avait (c'est en train de changer) tous les pouvoirs, ce n'est pas le cas sous Windows. Sous Windows, le root ne peut pas faire un chown...
Faux encore, cf. http://support.microsoft.com/kb/308421
Sous Windows, avec le système kerberos, on n'a pas de système équivalent a su, sudo... Bref de bit suid. Bilan, c'est une usine à gaz et une vrai daube lorsqu'on veut lancer en batch des choses sous un autre compte.
Equivalent de su : runas.exe
sudo il n'y a pas d'equivalent par defaut, mais ca existe separament
Et tu m'expliqueras le rapport entre su et des services tournant sous root...
Je ne parle pas du compte SYSTEM qui existe sans exister et dont les scripts .bat ont un comportement parfois plus qu'étrange...
Perso, et au vu de ta meconnaissance du systeme, je pencherai pour une autre explication.
Surtout qu'encore une fois, les ACL de Windows sont une telle usine à gaz qu'il y a tant de réglage possible que je n'ai pas encore rencontré une seule personne capable de faire des réglages beaucoup plus pointus que s'il y avait 4 ou 5 réglages possibles, comme sous UNIX ! La encore Windows à tuer les ACL avec leur complexité.
Que tu ne les comprennes pas ne veut pas dire que personne ne les comprend. Il suffit de comprendre que les ACE sont executees dans l'ordre et que l'evaluation stoppe a la premier entree qui match pour comprendre comment ca fonctionne ,ca n'a rien de sorcier.
D'ailleurs, lorsqu'on n'est pas en domaine, Microsoft a préféré les cacher aux utilisateurs, c'est tout dire.
Effectivement, ca en dit long sur la finition de Windows pour le desktop, car ta grand-mere (et la mienne) n'ont aucune idee de ce qu'est une permission.
Au passage, tu noteras que Windows XP Pro n'a pas cette configuration, c'est uniquement la version Home.
Bref, je te conseille de lire le bouquin "Windows Internals" ...