pasBill pasGates a écrit 16168 commentaires

Pas d'accord.

L'analyse statique a comme desavantage de donner de potentiels faux positifs(aucun de ces softs est parfait), mais elle permet de detecter des problemes qui sont _reels_ et qui n'auraient _pas_ ete trouves par fuzzing.

Le fuzzing c'est sympa et c'est puissant, mais tu n'arrives jamais a couvrire tous les cas possibles et imaginables. L'analyse statique elle va une etape plus loin en analysant le code et verifiant le type de condition sur le code.
On utilise les 2 ici et plein de bugs on ete trouve par analyse statique, notamment des buffer overflows ou null references qui ne sont pas forcement clairs dans le code quand ils se trouvent bien profond dans les couches.

Sinon un truc qui est un peu le meilleur des 2 mondes c'est ca : http://research.microsoft.com/research/pubs/view.aspx?type=T(...)

Ce truc est d'une intelligence assez phenomenale, plus besoin de modifier/generer les donnees sans savoir ce que le soft en fait, ici le soft est analyse et les contraintes resolues pour trouver comment les violer, c'est bluffant. Ca a encore besoin d'ameliorations pour etre un tueur, mais c'est deja plus puissant pour tester les parseurs de fichiers que tout ce que j'ai vu jusqu'a present.

Tu as installe les correctifs avant le SP2 ?? Pourquoi ?

Sinon pour SP1, pas besoin d'avoir installe tous les patchs, c'est la version du composant de setup qui est surtout importante.

De nouveau, theorie et pratique.

En theorie tout le monde peut corriger le probleme lui-meme.
En realite tres peu de gens ont les connaissances necessaires sur le composant pour faire un patch sous casser qqe chose, ou n'ont simplement pas le temps et les ressources de le faire et de faire des tests sur le patch.

Tu connais combien de societes qui ont une suite de tests pour le kernel, la libc, firefox, ... ? Moi j'en connais quasiment aucune a part Redhat, Suse et Mandriva. Resultat, aucune de ces societes clientes ne fera son propre patch car elles sont incapables de le valider.

cf. http://www.linuxfr.org/comments/900938.html#900938

Sous Linux en pratique tu rebootes tous les mois pour les patchs, comme un Windows.

Quand a installer un soft qui te demande de rebooter, je ne me souviens pas avoir vu ca depuis belle lurette.
Office, VStudio, Acrobat Reader, Flash, Firefox, OOo ... Aucun de ces softs ne demande de reboot.

Pour les drivers, si le driver peut etre stoppe a chaud(ce qui est le cas pour enormement de drivers de nos jours), tu peux l'updater sans reboot.

Je pense qu'on ne peut pas discuter objectivement avec toi si, sans remettre en cause la qualité d'un produit ou l'autre, tu refuses de reconnaitre qu'avoir les sources d'un logiciel est une facilité supplémentaire pour trouver des failles.

C'est une facilite supplementaire sans aucun doute en theorie.

Mais en pratique et dans la realite, l'enorme majorite des failles sont trouvees par fuzzing, pas par code review car le cerveau humain n'est pas capable de gerer les complexes changements d'etats et operations faites sur les donnees pour analyser efficacement le code.

Resultat, avoir les sources en pratique ca ne sert pas a grand-chose d'un point de vue securite. Tu trouveras qqe failles peut-etre, mais l'enorme majorite sera trouvee sans le code.

Groove c'est strategique.

FrontBridge ? quoi de strategique ?
Calista idem
Lionhead, quoi de strategique ? C'est une boite de jeux comme une autre, ils ne leur ont pris aucune technologie
Digital Anvil idem
Meme Bungie (que tu as oublie), ils ne leur ont pris aucune technologie, ils bossaient pour MS, mais sans integrer le produit a quelque soft MS que ce soit

Fast oui c'est strategique

Winternals ca n'a absolument rien de strategique, ils ne faisaient que des petits utilitaires, l'unique utilite etait d'engager Mark Russinovich.

Bref, ils ont rachete des elements techniques ca et la qui leur manquaient, mais pas un seul de ces elements se situe au coeur d'un systeme ou constitue la majorite d'un produit.

Voila, tu as reussi a trouver 2 achats strategiques : Fast & Groove.
Alors qu'on parle d'une societe enorme qui a pied dans le domaine des serveurs de messagerie, base de donnees, suite office, OS server, OS desktop, OS mobile, consoles de jeux, frameworks, suites de developpement, etc...

Bref, tu me fais bien rire.

Et elles datent de quand ? De quand le soft est sorti ? De quand elles ont ete decouvertes ? ...

Dans le cas de Firefox, elles datent de quand les failles qui ont ete corrigees en meme temps qu'une autre vulnerabilite ?

Dans 99% des cas, ces failles sont des variantes de la faille originale, chez Firefox et chez nous elles sont corrigees au meme moment. La grosse difference c'est que MS ne donne pas le detail des variantes.

Exemple 1: La virtualisation - domaine ôh combien stratégique. http://www.01net.com/editorial/202221/microsoft-achete-un-mi(...) La compagnie de Steve Ballmer achète à Connectix ses logiciels Virtual PC pour Mac, Virtual PC pour Windows et son projet Virtual Server.

Perdu, le code n'a absolument rien a voir.
L'hypervisor de MS a ete ecrit a 100% par MS, avec des developpeurs/testeurs qui en majorite etaient chez MS dans le kernel team avant(il y avait Eric Traut cependant qui venait de Connectix).
Virtual PC en tant que produit separe a ete achete, l'hypervisor qui est dans Windows Server 2008 est 100% MS par contre et n'a absolument rien a voir. Et c'est normal, un hypervisor ca marche assez differement d'une machine virtuelle a la VMWare ou VirtualPC.

Microsoft Acquires ActiveViews’ Business Intelligence Functionality for Microsoft SQL Server and Windows Server System

Super, ca a quoi de strategique dans SQL Server ?

Microsoft achète Sybari pour étoffer son offre de sécurité

Ouaip, en voila 1, ils ont rachete le soft de base. Mais cela n'a rien de strategique pour MS, que ce soit Windows ou Office ou les softs serveurs.

Microsoft acquiert Vermeer Technologies, Inc. pour Frontpage

1996

Voila, en 12 ans c'est tout ce que tu as trouve ? Pourtant MS a fait bcp plus que cela.

Qui va reprocher a un DSI d'utiliser la solution la plus repandue(cad Apache+Linux) ? J'aimerais bien voir ca...

Les chiffres ils sont la pour montrer que les produits MS sont loin d'etre les merdes que vous repetez a longueur de journee pour essayer de justifies vos frustrations. Ils ne sont pas la pour dire que MS fait les meilleurs produits dans tous les cas.

Les reboots ? Ah oui on en a toujours, tout autant que pour Linux : http://www.linuxfr.org/comments/900938.html#900938 environ une fois par mois.

Les failles ? Je serais plus que ravi de faire une comparaison entre un serveur web Windows+IIS et un Linux+Apache Idem pour les perfs et les interactions serveur/appli et autres.

Quedalle, le patch contient au moins une faille de toute facon, seule sa sortie definit la fenetre de vulnerabilite, le nombre de failles contenues n'y change rien.

Pour la Xbox, numéro 2 de quoi ? de vente totale, de vente du mois dernier, de % d'équipement des ménagères ? de chiffres d'affaires ?

Des consoles derniere generation : Wii, PS3 et XBox 360, c'est aussi notamment le 1er service de consoles online loin devant Nintendo et Sony.

Ils rachètent une ou deux startups qui leur permettent d'avoir un peu de techno innovante

Fais seulement, montre moi donc quelles startups ont ete rachetees et ont amene des innovations majeures dans Windows, Office, Visual Studio et SQL Server.
Je te mets au defi de montrer que les grosses innovations sur le long terme n'ont pas ete le fruit des devs de MS.

Il y a de belles technologies chez MS, toutes (ou presque) ont un équivalents libres. Dommage que MS fasse du proprio.

Si elles avaient toutes un equivalent libre, bcp de gens utiliseraient du libre, marrant que ce soit pas le cas pour tous ces produits qui n'ont pas d'effet reseau(format proprio/...) tels que Visual Studio ou SQL Server.

Le choix d'IIS ou d'Apache c'est pas seulement un choix de serveur web mais souvent un choix d'OS aussi, c'est legerement plus complexe.
Quand a dire qu'un est meilleur que l'autre, je suis sur que selon les besoins c'est l'un ou l'autre.

Pour ce qui est de MSN, niveau search ils sont clairement devant techniquement parlant, ca veut pas dire qu'ils sont les meilleurs(ils sont clairement derriere Google), ca ne change rien au fait qu'ils sont incapable d'avoir une strategie de vente et de branding decente. Ils melangent Windows & MSN, creent plein de marques ou les gens se perdent(moi y compris, c'est dire) et au final, on ne sais plus trop ce que c'est.
Attirer des gens sur un site web c'est comme les attirer vers un magazine ou autre, le contenu c'est une chose, si tu ne sais pas l'enrober proprement tu ne vendras rien. MS est bon pour le technique, pour l'enrobage par contre ils ont un tas de choses a apprendre.

Youhouhou, j'en peux plus, arrête ! J'ai trop mal au côtes...

Ris autant que tu veux, ca ne changera rien a la realite.

Si tu regardes comment l'enorme majorite des failles sont trouvees, c'est par fuzzing, pas par audit de code, donc non, avoir les sources ne change strictement rien.

- c'est quand même une grosse et belle boite avec tout plein de bon dev. Alors pourquoi ne sont il pas capable d'écrire eux même un vrai moteur de recherche ? (sérieux qui utilisent msn search ? Alors qu'ils ont débauché le gars de altavista.com pour le faire).

En fait, le moteur de recherche de MSN est technologiquement plus avance que celui de Yahoo, c'est pas le probleme.
Technologiquement parlant MS est loin devant Yahoo pour ce qui est de la solution pub ciblee et recherche, la ou ils sont vraiment nuls c'est vendre ca et attirer les gens sur le site.
L'idiot qui a concu la marque "Windows Live" devrait etre pendu par exemple.

En gros pourquoi ils se démerdent pas tout seul ? C'est plus simple de racheter ? Ou alors ils achètent pour faire taire la concurrence ? Dans ce cas la quel intérêt d'acheter le second ?

Ben c'est comme tout, tu peux essayer de te demerder tout seul, mais ca coute et ca prend tu temps, l'autre solution c'est d'acheter une solution toute faite, ca pourrait couter un peu plus cher qui sait, mais t'as le resultat plus vite.
Maintenant, est-ce que c'est la bonne solution de racheter Yahoo, j'en sais rien, mais je comprends qu'ils y aient pense.

Ca fait des années que je regarde MS de loin c'est vrai, j'ai la chance de n'avoir jamais eu à m'en servir au quotidien, mais j'ai vraiment l'impression qu'ils passent à coté de tout et que seul leur cash et leur hégémonie leur permettent de s'en sortir. Quelques exemples :

Ils sont loin d'etre passes a cote de tout.
Hotmail est le 2eme site d'e-mails au monde
MSN Messenger a bouffe ICQ princapelement parce qu'il integrait video+audio+texte, MSN Messenger n'a jamais ete parti de XP, c'etait Windows Messenger.
- XBox est parti de rien il y a qqe annees et est maintenant No2 (derriere Nintendo) devant Sony.
- Vista si tu crois que c'est un skin par dessus XP c'est que tu ne sais rien de ce qu'il contient, c'est un enorme changement par rapport a XP techniquement parlant.

Si tu regardes ce que MS fait : Visual Studio, SQL Server, Exchange, Office, Windows, XBox, MSN Messenger, .Net, ... tous ces produits sont parmis les meilleurs de leur categorie, j'ai du mal a appeler ca "tirer vers le bas".

Tout a fait.

C'est beau quand meme jusqu'ou vous pouvez aller pour refuser de voir la verite en face.

Vous faites de belles autruches, libre a vous de vous voiler la face, la chute n'en sera que plus lourde.

Bien sur ce sont des moutons qui n'y connaissent rien, heureusement nos chers linux fan-boys eux s'y connaissent.

Je suis d'ailleurs persuade qu'eBay ne connait rien au web, c'est pas du tout leur coeur de metier hein ?

Quel rapport ?

Les failles elles ne sont pas trouvees par les gens d'Apache ou de MS dans la plupart des cas mais par des gens externes, qui les publient quand ils veulent.

Bref, Apache et IIS sont a la meme enseigne de ce cote, que les chercheurs externes n'aient quasiment rien trouve dans IIS 6/7 en dit long.

Tu veux lui dire quoi a Mme Michu alors ? De demarrer le task manager et aller trier les processus alors qu'elle ne sait meme pas ce qu'est un processus et est incapable de comprendre ce qu'est un service ?

Quand aux techniciens, si ils voient cette page et ils la prennent pour argent comptant, j'aurais un mal fou a appeler ces gens des techniciens.

Faut sortir de ta tour d'ivoire et revenir dans le monde reel mon cher, MS a une aide specifique pour les techniciens, et une pour les non-techniciens, c'est pas par hasard.

Tu veux nous rappeler la taille en jours des fenêtres de vulnérabilité entre IE et Firefox ? Chiffre évidement basé sur des failles connus or tout est connu sur Firefox mais pas sur IE.

Il y a quoi qui n'est pas connu sur IE par rapport a Firefox ?

De mémoire, Firefox était a 3 jours, IE a plusieurs semaines.

Peut-etre, j'en sais rien. La question initiale etait : pas d'attaques sur les gens sous Firefox, la realite est evidemment loin d'etre telle.

Il n'y a pas de gestion d'évènements noyau pour éviter un tel polling ?!

Si, et quand l'evenement se produit, le service fait son boulot, ca veut pas dire que l'utilisateur est interesse par le resultat.

Et ca datait de quand ? 1998 ? 1996 ?

Quand a Hotmail, le probleme n'a jamais ete l'OS et le serveur web, mais l'applicatif au dessus.

C'est sur, d'ailleurs la majorite des plus grosses societes US sont sous Linux/Apache pour bcp moins cher(moins de machines, maintenance, ...)

Ah non tiens, on me souffle qu'elles sont sous IIS et Windows, bizarre non ?

Ca doit etre ca, et en fait, chaque marche gagne par Linux est du uniquement au fait que les commerciaux de Redhat/IBM/... sont meilleurs que ceux de MS hein...

>50% des 500 plus grosses societes US sont sous IIS, ca repond a ta question je suppose...

Quand aux sites les plus visites, Apache a un leger avantage mais c'est tout, sachant que msn.com, hotmail.com et microsoft.com sont parmis les sites les plus visites.

Quand a la securite, locker un serveur web afin de ne laisser que les ports web ouvert est hyper-simple, et ensuite quand on compare le nombre de failles d'Apache et d'IIS 6/7, je rigoles bien...