pasBill pasGates a écrit 16225 commentaires

Si tu faisais l'effort de lire au moins…

• MemGC dans Edge
• Control Flow Guard
• Code Integrity & Image load restrictions
• Dynamic code restrictions
• Architecture VSM du kernel, utilisant l'hyperviseur pour protèger certaines choses du kernel au cas ou celui-ci serait compromis (cf. https://blogs.technet.microsoft.com/ash/2016/03/02/windows-10-device-guard-and-credential-guard-demystified/ )
• Améliorations de l'ASLR du kernel
• AppContainer

Tout cela est décrit dans le powerpoint.

Et cela n'inclut pas tout ce qu'ils ont ajouté depuis.

Ben faut savoir… Tu me parlais de concepts d'admin/user et quand je te rappelle que ceux ci sont dans NT depuis sa naissance tu viens me parler de parts de marché grand public…

Faudra que tu m'expliques comment tu comptes…

https://bugs.chromium.org/p/chromium/issues/detail?id=664411 ( CVE-2016-9651 )

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5209

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5203

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5210

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5211

https://bugs.chromium.org/p/chromium/issues/detail?id=652548 ( CVE-2016-5213 )

qui sont dans la page que j'ai référencée sont tous des RCE.

L'UAC est arrivé avec Vista en 2007, sans compter que beaucoup sont restés sous XP.

Il n'y avait pas besoin d'UAC pour lancer un soft en admin depuis un compte utilisateur, XP savait le faire aussi.

Pas super user-friendly comparé à UAC ? Oui certainement, mais si on parle d'user-friendly les distribs Linux de l'époque partent sur le talus très vite…

Quand à 'beaucoup sont restés sous XP'… je te dirais qu'il y avait plus de gens sous Vista en 3 mois qu'il n'y en avait sous Linux en 10 ans…

Ce n'est effectivement pas pertinent à lui tout seul. Note que Edge a un bug bounty aussi en passant : https://technet.microsoft.com/en-us/library/mt761990.aspx

J'ai jamais vu personne utiliser un compte non privilégié sous windows sur un ordinateur personnel.

Tout à fait.

En même temps, à l'époque je n'ai jamais vu personne utiliser … Linux sur un ordinateur personnel (à part les très rares geeks genre moi).

Donc bon, comparer un truc qui était inutilisable par la population en question à Windows c'est plutôt bancal. Tout le problème de la sécurité c'est d'être suffisament discret et transparent pour être utilisable au jour le jour, Linux, sans même parler de sécurité, était totalement inutilisable par la population à l'époque.

Euuuhhh… https://threatpost.com/google-fixes-12-high-severity-flaws-in-chrome-browser/122223/

Note je dis pas que Chrome est pire que Edge, mais il a des RCE.

Je pense que cela a trait au fait que faire des comparaisons entre Windows et Linux n'a de sens que lorsque l'on regarde un système complet, pas juste le kernel. Et de ce point de vue la openssl fait partie du système vu son utilisation.

Dès les origines de Unix dans les années 70, les concepts d'utilisateurs (dont root), et de permissions sur les fichiers permettaient de mettre en échec toutes les menaces des années 90 (virus principalement) là où Windows, c'était un peu la fête du slip.

Fais moi rire, Windows NT supportait cela depuis sa naissance en 1992.

Et même aux débuts d'Internet grand public dans les années 2000, il a fallu un petit moment avant que Windows ne soit plus une passoire tandis que ces bons vieux mécanismes d'utilisateurs et de permissions protégeaient encore relativement un utilisateur de Unix/Linux.

Non, c'est le fait qu'ils étaient totalement absents du marché grand public surtout. Ils avaient plein de failles à l'époque (comme Windows), y compris pour passer d'utilisateur simple à administrateur. Mais évidemment quand la faille touche 10 machines plutôt que 10'000 cela ne fait pas le même bruit dans la presse…

les devs Linux ont conscience depuis le quasi-départ de l'importance de la sécurité (disons 1994 pour être large).

Et tu te bases sur quoi pour affirmer cela ?

https://www.blackhat.com/docs/us-16/materials/us-16-Weston-Windows-10-Mitigation-Improvements.pdf

https://grsecurity.net/passing_the_baton_faq.php

I do not want to spend money, what alternatives are there?

Unfortunately, in contrast to Microsoft's post-Windows XP Trustworthy Computing initiative which drastically changed its security trajectory, the Linux community at large has failed to invest adequately in security over the past two decades. Partially due to this, there is no direct alternative to grsecurity or even any option that provides a substantial fraction of grsecurity's features or overall benefits.

C'est pas moi qui le dit hein… Ok j'aurais peut-être dû attendre Vendredi…

Le defaut change selon le mode du système. Quand c'est un tablet, il utilise l'UI moderne, quand c'est un desktop-server il utilise l'ancienne UI par défaut.

Et comme tu le dis, le changement était le bienvenu car le mode moderne sur un desktop-server était pas idéal.

Non elle est toujours là. Clique en bas à gauche de l'écran et elle apparait.

Je me demande… Tu t'attends à ce qu'une boite libre n'achète que des produits et services libres aussi ?

Parce-que personne ne fait cela, c'est simplement impossible. Partant de la choisir aléatoirement un critère genre "toute société achetée doit avoir offert ses produits en libre" est arbitraire et… franchement loufoque.

J'avais justement pris un jour de congé ce jour là! Preuve que sans moi l'internet s'ecroulerait…

Ce n'est pas le cas. Selon le contrat :

Si je bosses à Amazon, et que demain je crée un traitement de texte sur mon temps libre (bref un truc qui ne concurrence rien de ce que fait Amazon), sans utiliser les ressources d'Amazon, le truc est à moi.

Si je bosses à Amazon, et que demain je crée un service de stockage en ligne sur mon temps libre, alors il appartiendra à Amazon, sauf si j'ai demandé un accord de moonlighting qui a été accepté (et dans ce cas précis il serait probablement rejeté).

AWS a eu des petits problèmes hier avec S3 dans une région (us-east-1), si leurs systèmes en dépendait cela pourrait l'expliquer.

La crypto n'est pas mon domaine mais il n'y a pas de risque d'affaiblir l'algo de manière non linéaire (relatif aux bits enlevés) en faisant cela ?

160bit vs 256 aussi. Pour certains usages ou les données sont petites cela a son importance.

On a tous cela dans nos contrats ici. Rien de nouveau, tout ce que cela dit est que tout ce que tu fais pendant que tu es employé par cette boite appartient à la boite. Cela n'inclut évidemment pas ce que tu fais après avoir été employé par eux ou avant. Il y a souvent aussi une clause de "moonlight" qui permet à l'employé de bosser sur son temps libre sur un truc sans rapport avec l'activité de la boite et ne pas avoir à donner les droits.

D'ailleurs, pour travailler dans les métiers de l'ingénierie aux États-Unis, il vous est interdit de jamais revenir au type travail que vous faisiez pour votre employeur après avoir quitté votre emploi.

C'est absolument et totalement faux. Moi et la plupart des gens que je connais avons changé de boite et travaillons souvent sur le même genre de choses que l'on faisait avant. Notre boite précédente le sait et s'en fout totalement.

La loi change par état, et pour que ton employeur précédent puisse te poursuivre il faut un certain concours de circonstances (connaitre en détails les futurs projets de la boite, etc…) qui font que cela ne s'applique réellement qu'aux gens haut placés genre directeur d'un groupe de dizaines de gens ou plus haut, ou alors les vrais pontes techniques vu qu'ils se promènent souvent dans les meetings ou toute la stratégie sur des années est discutée.

Les idées nouvelles ou non dominantes sont non seulement ignorées, mais supprimées par les individus qui les produisent, pour des raisons de sécurité personnelle ou pour des gains financiers immédiats.

Et la marmotte… Non mais sérieusement faut arrèter de raconter n'importe quoi pour essayer de convaincre les gens de ton point de vue hein… C'est non seulement totalement faux, mais ce l'est de manière tellement flagrante que tout ton article passe à la poubelle dans ma tête, tu as perdu toute crédibilité. Il n'y a jamais eu autant de créativité dans l'industrie informatique qu'en ces dernières années, que ce soit au niveau HW ou SW.

La distance est de genre 5km entre les anciens bureaux et les nouveux. Aller dire qu'ils ont fait cela pour arranger un coup fumeux est ridicule. Il y a plein de contraintes pour trouver des locaux de la taille nécessaire, avec les connections routières, transports publics, …

Oui tout à fait on rigole.

On rigole des guignols qui lancent des conneries sans se rendre compte que Microsoft a son siège à Munich depuis des années, et qu'ils ont simplement déménagé d'une banlieue de Munich à une autre, dans un nouvel immeuble.

Je savais bien qu'on finirait par être d'accord sur quelque chose un jour ! :)