Il y a combien de suites bureautiques qui ont implémenté OOxml strict par rapport aux suites qui ont implémenter ODF 1.2 ??
Mais à toi de me le dire mon cher, combien ont proprement implémenté ODF 1.2 ?
Tout le monde sait parfaitement qu'ODF au final est comme OOXML : il est basé sur OO/LibreO comme implémentation de référence, et n'importe quel autre soft qui veut implémenter cela de manière complète va souffrir horriblement car implémenter ce genre de choses demande d'avoir une représentation interne extrêmement proche de ce que l'implémentation de réference fait, et c'est super lourd à implémenter, surtout pour un soft ayant déjà un modèle interne différent.
Pourquoi les anglais ont viré l'OOXML et préférer l'ODF? Parce que dans les faits l'OOXml c'est choisir un programme: MS Office, choisir l'ODF c'est avoir le choix de plusieurs programmes.
Blablabla… affirmation sans rien pour la supporter.
J'ai lu nul part que l'ODF 1.2 était indigeste, mais si tu as des liens à ce sujet n'hésite pas.
Oh mais je pourrais faire comme tu le fais pour tes sources sur OOXML, prendre des sites de fanboys de Microsoft, mais bon, ça serait tout autant pourri comme source d'information.
Si tu veux affirmer qu'un est propre et pas l'autre, c'est à toi d'amener des éléments CONCRETS, "je l'ai lu sur un forum donc ça doit être vrai" ou "je n'ai pas vu de fans du libre se plaindre d'ODF" ne vaut rien.
L'OOxml est en effet documenté et libre, mais les détails techniques sont tellement abscons que seul MS s'est attaché à la tâche de l'intégrer dans leur logiciel. Les autres éditeurs ne font que quelques bouts.
Tout comme ODF, mais c'est marrant, ça tu ne le mentionnes pas !
Risque 0 ? Demain Microsoft décide d'arrêter sa suite Office, on n'a absolument aucune solution pour migrer à cause des formats propriétaires. Là où il suffirait de forker un logiciel libre.
Faudrait arréter de raconter n'importe quoi hein, les formats sont documentés et librement implémentable.
Je n'ai jamais dit que l'industrie chimique est toute propre et innocente, loin de là. Je me contente de signaler que la méthode proposée pour vérifier ce qu'ils font est ridicule.
Mais avec le support des sites visités (épinglage des clefs publiques) et le support des navigateurs (qui se chargent eux-mêmes d’assurer le suivi des certificats de manière transparente pour l’utilisateur), les solutions du type Trust-on-First-Use ne sont pas aussi ridicules que tu sembles le croire.
Et pourtant si, HPKP ne change absolument rien au besoin de CA, il permet simplement d'empécher que qq'un fasse un MITM à travers un cert amené d'une autre CA que l'originelle.
HPKP ne fonctionne pas sans CA, car il faut toujours pouvoir vérifier le certificat originel au départ pour l'accepter.
J'utiliserais bien des pseudos pour poster des trucs absurdes genre "l'open source c'est plus sûr" ou "Linux est prêt pour le desktop" mais je suis pas sur que ça m’amènerait des plussages :)
Tout cela évidemment est basé sur l'idée que le govt peut forcer la main des CA. Peut-être, peut-être pas.
Alors oui, voila, le système de CA laisse tout le monde à la merci des gouvernements ayant assez de pouvoir.
Par contre il résoud le problème pour tout le reste.
Tu as mieux, et qui marche à l'échelle mondiale pour tout le monde du pekin moyen à la société de 100'000 personnes ? Je serai ravi d'entendre tes propositions…
Ptete car quand tu es une fondation/entreprise international tu ne peux pas te permettre de te mettre à dos les services d'espionnage/police des super-puissances occidentales sans te prendre un redressement fiscale dans les dents?
Ca c'est le genre de phrase que j'entends, et chaque fois que je regarde qui les prononce, c'est quelqu'un qui n'a jamais mis les pieds dans aucune de ces boites et qui préfère imaginer ce qu'il veut.
Depuis le temps que je suis là dedans je connais des gars dans les teams sécurité de toutes les grosses boites (les gens passent d'une boite à l'autre, tu les rencontres à des confs et fait qqe beuveries avec, …).
Pas une fois, pas une, je n'ai vu ou entendu qq'un parler d'une idée grandiose pour résoudre un problème de sécurité qui aurait été refusée sans bonne explication par sa boite. A chaque fois l'idée est jolie sur la papier, mais n'est pas scalable, trop couteuse, détruit les perfs, ne bloque pas tel ou tel attaque ce qui rend l'approche entière inutile, …
Et on parle de gens dans l'industrie sécurité : plein de non-américains, qui n'ont pas leur langue dans la poche et qui ont tendance à ne pas respecter les règles qu'ils n'aiment pas.
Mais absolument qu'elles en profitent, sinon elles ne le feraient pas !
Visiblement par contre, tu as du mal à réaliser qu'elles arrivent à les vendre uniquement car elles ont une réputation de sécurité, et les CA qui perdent cette réputation se font virer des browsers.
Et oui, pour ce qui est des gouvernements, effectivement ceux ci peuvent certainement faire pression oui.
Maintenant, est-ce que ta grand-mère a besoin de s'inquièter de la NSA, la DGSE et GCHQ ? Non, 95% de la planète s'en fout éperdument. Ils veulent pouvoir entrer leur numéro de carte de crédit sur internet, les sysadmins se connecter à leur serveur web, … et le système de CA amène cela de manière sure. Ta méthode elle, détruit la sécurité de tout le monde, tu as beau croire que mettre la décision dans les mains des gens améliore leur sécurité, tu te mets un énorme pylone dans l'oeil, et visiblement tu es incapable de t'en rendre compte.
Ceux qui ont besoin d'un niveau de sécurité plus élevé le savent (entreprises sensibles, activistes,…), et savent quoi faire pour améliorer l'existant même si cela demande bcp plus d'efforts.
Faut que tu reviennes sur terre, et te rendes compte que même si le système de CA n'est pas idéal, il est mille, je dis bien mille, fois mieux que ta proposition. Ensuite, si tu n'arrives toujours pas à accepter que des gens dont c'est le boulot te disent que ton idée est délirante, ben désolé hein… c'est un effort que tu devras faire sur toi-même pour être capable d'accepter cela.
Pour être clair. C'est bien que tu penses à la problématique et j'espère que tu continueras mais il faut aussi absolument que tu fasses 2 pas en arrière quand tu as une idée, que tu aies l'humilité de te demander "est-ce que j'ai raté un truc pour que ce soit aussi simple?" sinon tu vas venir tous les mois avec des idées farfelues et le jour ou tu auras une bonne idée personne ne t'écoutera.
Oh non loin de la. Il y a plein de choses qui restent à faire et bcp ne seront pas créées dans ces grosses boites.
Mais regarde ta proposition, elle n'a rien de nouveau ou d'innovant, elle consiste simplement à enlever les CA. C'est pas une nouvelle approche, un truc différent de ce qui se faisait avant, c'est le modèle existant, mais avec la partie importante en moins.
Tout le monde dans l'industrie sécurité a vu ton modèle depuis des années des années: On le voit a chaque certificat self-signed qu'un browser rencontre, et tout le monde sait que ce serait une catastrophe si tout le web était comme ca.
Et toi tu penses sérieusement que ta grand mère vérifie systématiquement que sa connexion est sécurisée avant de balancer ses infos sensibles n'importe où ? Nos grand-mères ne savent pas ce qu'est le HTTPs ni une connexion sécurisée.
Moi je ne penses pas, je suis CERTAIN, que ma grand mère est plus en sécurité avec le modèle existant qu'avec le modèle absolument délirant et dangereux que tu préconise. Il n'y a même pas un doute, pas l'once de l'once d'un doute, et le fait que tu ne t'en rendes pas compte est vraiment absolument dingue.
Ma grand-mère, aujourd'hui avec les browsers existants, si elle va sur un le site de amazon.fr et le certificat n'est pas bon, tous les browsers vont automatiquement l'alerter. C'est un fait avéré. Si elle va sur le bon site, elle n'aura même pas à se poser la moindre question.
Avec ta "méthode" qui au final n'est qu'un grand délire irréealiste, la grand-mère, même si elle va sur le bon site, on va lui demander de vérifier le certificat. Grand-mère va se demander "c'est quoi un certificat ?", ensuite elle va se demander "ca sert à quoi un certificat ?" et 233 questions plus tard, si elle arrive jusque là elle se demandera "mais comment je fais pour vérifier que c'est le bon certificat ?" et il n'y a pas de bonne réponse à cette question. Parce que la bonne réponse c'est les autorités de certification, et ton "modèle" justement détruit la réponse.
Bref, tu auras ruiné l'utilisation d'internet pour la grand-mère, tu la forces à répondre à des questions auxquelles elle est absolument incapable de répondre. Elle aura le choix entre soit dire "je fais confiance à ce certificat" aveuglément et elle sera à la merci de toutes les attaques, soit elle dira non à tout et son utilisation d'internet sera réduite à néant.
C'est vraiment, absolument dingue que tu ne t'en rendes pas compte. Faut sortir de ta bulle mon pauvre.
Je veux dire sérieusement, tu crois vraiment que toi dans ton coin est arrivé à cette idée géniale, et que pas un des centaines d'ingénieurs sécurité chez Microsoft, Mozilla, Google et autres n'y a pensé avant ? Tu ne t'es jamais demandé pourquoi ça n'a pas été fait ? Qu'il n'y aurait pas une bonne raison à cela ?
Tu as raison, Tor, bittorrent, bitcoin, etc. n'ont pas été créés par des gens pensant différemment des autres.
LOL, ou comment jeter des mots en patures qui n'ont absolument rien à voir !
Allez, fais moi plaisir, traduis ta prose en anglais et pose la sur des ML comme Full-Disclosure ou netsec sur Reddit et autres, qu'on voit un peu ce que les gens dans la sécurité en pensent.
Juste pour te préparer à la réception grandiose de ton idée géniale, la sécurité informatique c'est mon boulot depuis plus de 10 ans, dont la plupart dans une boite qui était en charge d'un browser majeur et les 2 dernières chez Amazon. Bon nombre de pontes de la sécurité informatique étaient dans les bureaux autour de moi, je connais personnellement nombre de devs et project managers ayant bossé sur IE, et je t'assures à 100% (même pas 99.9 hein, 100, si on pouvait dire 10'000% je le dirais) qu'absolument tous, sans exception, éclateraient de rire, ou pleureraient en lisant ton idée.
Au mieux tu ne comprend rien à ce que tu fais, au pire tu es totalement déconnecté de la réalité. Tu préfères quoi ?
Tu penses sérieusement que ta grand-mère a la possibilité de vérifier les certificats ? Tu prends du LSD tous les jours c'est ça ?
Même toi tu n'as pas la capacité de le faire proprement et régulierement, bref, ravales ta prose, réfléchis un peu plus de 30 secondes, et aies l'humilité de te demander pourquoi tout le monde dans l'industrie informatique pense différemment de toi.
Si tu connais la valeur de base d'une autre valeur "xore" alors oui. C'est pour cela que je parles d'info leak : il ne faut pas que le kernel révele quoi que ce soit à propos de cette valeur.
Mais avoir 2 pointeurs encodés ne va pas te dire grand-chose (a part les quelques bits qui font la diffèrence entre kernel et use space + ceux pour l'alignement typiquement) car tu ne sais pas à quoi comparer.
Encoder les pointeurs de fonction avec une valeur générée au démarrage (bref un XOR) et decoder la valeur avant de déréférencer le pointeur.
Bon par contre cela demande qu'il n'y ait pas d'info leak dans le kernel qui permette à l'attaquant de deviner la valeur avec laquelle le pointeur a été encodé.
Tu cliques sur "Advanced settings" lors de l'installation et c'est dedans.
Pourquoi "Advanced settings" et pas demander à tout le monde ? Parce que soyons franc, la plupart des gens s'en foutent (cf. les téléphones) et veulent simplement les features. Ceux que cela intéresse sauront cliquer dessus pour s'assurer que c'est bloqué.
Bref, voir le mal partout peut être excessif, certes, mais déclarer que tout est d'une limpidité cristalline aussi.
Pour moi c'est très simple, je place la barre au fait que le client :
voit ses données prises sans rien faire et sans le savoir
cela se fait en douce même si le client dit non
n'ait pas de moyen aisé de le stopper
Aucun de ces éléments ne s'applique ici. MS a dés le début été clair sur ce qui est pris, pourquoi, et comment l’arrêter. Le fonctionnement est clair, stopper la chose est a la portée d'à peu près n'importe quelle personne qui s'en inquiète.
Bref, on peut totalement ne pas vouloir que ses données soient envoyées chez MS, c'est mon cas notamment, mais il est impossible d'appeler cela "espionnage", c'est communiqué de manière transparente, et les méthodes pour ne rien envoyer à MS sont claires.
Dans la mesure ou plein de gens se sont vu offrir une présentation à la mord moi le noeud de ce que Windows 10 fait plutôt que ce fait réellement le système, non il n'y a rien de surprenant à la réaction.
[^] # Re: Une pratique deloyale ?
Posté par pasBill pasGates . En réponse à la dépêche Les membres du collectif Édunathon demandent l’annulation de l’accord entre Microsoft et l’Éducation. Évalué à -4. Dernière modification le 09 février 2016 à 00:23.
Mais à toi de me le dire mon cher, combien ont proprement implémenté ODF 1.2 ?
Tout le monde sait parfaitement qu'ODF au final est comme OOXML : il est basé sur OO/LibreO comme implémentation de référence, et n'importe quel autre soft qui veut implémenter cela de manière complète va souffrir horriblement car implémenter ce genre de choses demande d'avoir une représentation interne extrêmement proche de ce que l'implémentation de réference fait, et c'est super lourd à implémenter, surtout pour un soft ayant déjà un modèle interne différent.
Blablabla… affirmation sans rien pour la supporter.
Oh mais je pourrais faire comme tu le fais pour tes sources sur OOXML, prendre des sites de fanboys de Microsoft, mais bon, ça serait tout autant pourri comme source d'information.
Si tu veux affirmer qu'un est propre et pas l'autre, c'est à toi d'amener des éléments CONCRETS, "je l'ai lu sur un forum donc ça doit être vrai" ou "je n'ai pas vu de fans du libre se plaindre d'ODF" ne vaut rien.
[^] # Re: Une pratique deloyale ?
Posté par pasBill pasGates . En réponse à la dépêche Les membres du collectif Édunathon demandent l’annulation de l’accord entre Microsoft et l’Éducation. Évalué à -5.
Tout comme ODF, mais c'est marrant, ça tu ne le mentionnes pas !
[^] # Re: Une pratique deloyale ?
Posté par pasBill pasGates . En réponse à la dépêche Les membres du collectif Édunathon demandent l’annulation de l’accord entre Microsoft et l’Éducation. Évalué à -4.
Faudrait arréter de raconter n'importe quoi hein, les formats sont documentés et librement implémentable.
[^] # Re: Notation
Posté par pasBill pasGates . En réponse au journal Un avant gout de TFTA ?. Évalué à 0.
Je n'ai jamais dit que l'industrie chimique est toute propre et innocente, loin de là. Je me contente de signaler que la méthode proposée pour vérifier ce qu'ils font est ridicule.
[^] # Re: Notation
Posté par pasBill pasGates . En réponse au journal Un avant gout de TFTA ?. Évalué à 10.
Tu nous as donné la mauvaise addresse !
Sur ce je -->[]
[^] # Re: Notation
Posté par pasBill pasGates . En réponse au journal Un avant gout de TFTA ?. Évalué à 1.
Dans l'absence de vrai « preuve », on pourrait se contenter d'un test pendant plusieurs décennies par des volontaires conscients de ce qu'ils font,
Ah effectivement c'est une bonne méthode pour tuer cette industrie. Et je doutes que le monde en sorte gagnant.
[^] # Re: Boulette
Posté par pasBill pasGates . En réponse au journal rm -rf tue votre bios UEFI. Évalué à 10.
Faut pas exagérer… L'utilisateur est en droit de s'attendre à ce que rm -rf / n'affecte que le contenu du disque dur plutôt que le hardware.
[^] # Re: Quel le problème en fait ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à -2.
Et pourtant si, HPKP ne change absolument rien au besoin de CA, il permet simplement d'empécher que qq'un fasse un MITM à travers un cert amené d'une autre CA que l'originelle.
HPKP ne fonctionne pas sans CA, car il faut toujours pouvoir vérifier le certificat originel au départ pour l'accepter.
[^] # Re: Quel le problème en fait ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 4.
J'utiliserais bien des pseudos pour poster des trucs absurdes genre "l'open source c'est plus sûr" ou "Linux est prêt pour le desktop" mais je suis pas sur que ça m’amènerait des plussages :)
[^] # Re: Quel le problème en fait ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à -3.
Ah :) Après ce que j'ai lu sur ce journal plus rien ne m'étonne :)
[^] # Re: Quel le problème en fait ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 0.
J'ai dit :
"qui marche à l'échelle mondiale, du pekin moyen à la société de 100'000 personnes"
Pour les certificats d'entreprises, tu gères ça comment ? T'as un Tor interne à la boite ?
Pour les sites en load balancing avec plus d'un certificat, ta grand-mère fais quoi ? Ton Tor va répondre avec 13 certificats différents…
[^] # Re: Quel le problème en fait ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à -1.
Absolument rien
Tout cela évidemment est basé sur l'idée que le govt peut forcer la main des CA. Peut-être, peut-être pas.
Alors oui, voila, le système de CA laisse tout le monde à la merci des gouvernements ayant assez de pouvoir.
Par contre il résoud le problème pour tout le reste.
Tu as mieux, et qui marche à l'échelle mondiale pour tout le monde du pekin moyen à la société de 100'000 personnes ? Je serai ravi d'entendre tes propositions…
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 4.
Ca c'est le genre de phrase que j'entends, et chaque fois que je regarde qui les prononce, c'est quelqu'un qui n'a jamais mis les pieds dans aucune de ces boites et qui préfère imaginer ce qu'il veut.
Depuis le temps que je suis là dedans je connais des gars dans les teams sécurité de toutes les grosses boites (les gens passent d'une boite à l'autre, tu les rencontres à des confs et fait qqe beuveries avec, …).
Pas une fois, pas une, je n'ai vu ou entendu qq'un parler d'une idée grandiose pour résoudre un problème de sécurité qui aurait été refusée sans bonne explication par sa boite. A chaque fois l'idée est jolie sur la papier, mais n'est pas scalable, trop couteuse, détruit les perfs, ne bloque pas tel ou tel attaque ce qui rend l'approche entière inutile, …
Et on parle de gens dans l'industrie sécurité : plein de non-américains, qui n'ont pas leur langue dans la poche et qui ont tendance à ne pas respecter les règles qu'ils n'aiment pas.
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 2.
Cette phrase décrit tout ton problème.
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 4.
Mais absolument qu'elles en profitent, sinon elles ne le feraient pas !
Visiblement par contre, tu as du mal à réaliser qu'elles arrivent à les vendre uniquement car elles ont une réputation de sécurité, et les CA qui perdent cette réputation se font virer des browsers.
Et oui, pour ce qui est des gouvernements, effectivement ceux ci peuvent certainement faire pression oui.
Maintenant, est-ce que ta grand-mère a besoin de s'inquièter de la NSA, la DGSE et GCHQ ? Non, 95% de la planète s'en fout éperdument. Ils veulent pouvoir entrer leur numéro de carte de crédit sur internet, les sysadmins se connecter à leur serveur web, … et le système de CA amène cela de manière sure. Ta méthode elle, détruit la sécurité de tout le monde, tu as beau croire que mettre la décision dans les mains des gens améliore leur sécurité, tu te mets un énorme pylone dans l'oeil, et visiblement tu es incapable de t'en rendre compte.
Ceux qui ont besoin d'un niveau de sécurité plus élevé le savent (entreprises sensibles, activistes,…), et savent quoi faire pour améliorer l'existant même si cela demande bcp plus d'efforts.
Faut que tu reviennes sur terre, et te rendes compte que même si le système de CA n'est pas idéal, il est mille, je dis bien mille, fois mieux que ta proposition. Ensuite, si tu n'arrives toujours pas à accepter que des gens dont c'est le boulot te disent que ton idée est délirante, ben désolé hein… c'est un effort que tu devras faire sur toi-même pour être capable d'accepter cela.
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 1. Dernière modification le 01 février 2016 à 18:24.
Pour être clair. C'est bien que tu penses à la problématique et j'espère que tu continueras mais il faut aussi absolument que tu fasses 2 pas en arrière quand tu as une idée, que tu aies l'humilité de te demander "est-ce que j'ai raté un truc pour que ce soit aussi simple?" sinon tu vas venir tous les mois avec des idées farfelues et le jour ou tu auras une bonne idée personne ne t'écoutera.
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 2.
Oh non loin de la. Il y a plein de choses qui restent à faire et bcp ne seront pas créées dans ces grosses boites.
Mais regarde ta proposition, elle n'a rien de nouveau ou d'innovant, elle consiste simplement à enlever les CA. C'est pas une nouvelle approche, un truc différent de ce qui se faisait avant, c'est le modèle existant, mais avec la partie importante en moins.
Tout le monde dans l'industrie sécurité a vu ton modèle depuis des années des années: On le voit a chaque certificat self-signed qu'un browser rencontre, et tout le monde sait que ce serait une catastrophe si tout le web était comme ca.
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à 2.
Moi je ne penses pas, je suis CERTAIN, que ma grand mère est plus en sécurité avec le modèle existant qu'avec le modèle absolument délirant et dangereux que tu préconise. Il n'y a même pas un doute, pas l'once de l'once d'un doute, et le fait que tu ne t'en rendes pas compte est vraiment absolument dingue.
Ma grand-mère, aujourd'hui avec les browsers existants, si elle va sur un le site de amazon.fr et le certificat n'est pas bon, tous les browsers vont automatiquement l'alerter. C'est un fait avéré. Si elle va sur le bon site, elle n'aura même pas à se poser la moindre question.
Avec ta "méthode" qui au final n'est qu'un grand délire irréealiste, la grand-mère, même si elle va sur le bon site, on va lui demander de vérifier le certificat. Grand-mère va se demander "c'est quoi un certificat ?", ensuite elle va se demander "ca sert à quoi un certificat ?" et 233 questions plus tard, si elle arrive jusque là elle se demandera "mais comment je fais pour vérifier que c'est le bon certificat ?" et il n'y a pas de bonne réponse à cette question. Parce que la bonne réponse c'est les autorités de certification, et ton "modèle" justement détruit la réponse.
Bref, tu auras ruiné l'utilisation d'internet pour la grand-mère, tu la forces à répondre à des questions auxquelles elle est absolument incapable de répondre. Elle aura le choix entre soit dire "je fais confiance à ce certificat" aveuglément et elle sera à la merci de toutes les attaques, soit elle dira non à tout et son utilisation d'internet sera réduite à néant.
C'est vraiment, absolument dingue que tu ne t'en rendes pas compte. Faut sortir de ta bulle mon pauvre.
Je veux dire sérieusement, tu crois vraiment que toi dans ton coin est arrivé à cette idée géniale, et que pas un des centaines d'ingénieurs sécurité chez Microsoft, Mozilla, Google et autres n'y a pensé avant ? Tu ne t'es jamais demandé pourquoi ça n'a pas été fait ? Qu'il n'y aurait pas une bonne raison à cela ?
LOL, ou comment jeter des mots en patures qui n'ont absolument rien à voir !
Allez, fais moi plaisir, traduis ta prose en anglais et pose la sur des ML comme Full-Disclosure ou netsec sur Reddit et autres, qu'on voit un peu ce que les gens dans la sécurité en pensent.
Juste pour te préparer à la réception grandiose de ton idée géniale, la sécurité informatique c'est mon boulot depuis plus de 10 ans, dont la plupart dans une boite qui était en charge d'un browser majeur et les 2 dernières chez Amazon. Bon nombre de pontes de la sécurité informatique étaient dans les bureaux autour de moi, je connais personnellement nombre de devs et project managers ayant bossé sur IE, et je t'assures à 100% (même pas 99.9 hein, 100, si on pouvait dire 10'000% je le dirais) qu'absolument tous, sans exception, éclateraient de rire, ou pleureraient en lisant ton idée.
[^] # Re: What's the point ?
Posté par pasBill pasGates . En réponse au journal À propos des certificats. Évalué à -1.
Ton raisonnement n'en est pas un.
Au mieux tu ne comprend rien à ce que tu fais, au pire tu es totalement déconnecté de la réalité. Tu préfères quoi ?
Tu penses sérieusement que ta grand-mère a la possibilité de vérifier les certificats ? Tu prends du LSD tous les jours c'est ça ?
Même toi tu n'as pas la capacité de le faire proprement et régulierement, bref, ravales ta prose, réfléchis un peu plus de 30 secondes, et aies l'humilité de te demander pourquoi tout le monde dans l'industrie informatique pense différemment de toi.
[^] # Re: Journal bookmark inutile.
Posté par pasBill pasGates . En réponse au journal faille Linux 0 day du 19 janvier 2016 . Évalué à -2.
Si tu connais la valeur de base d'une autre valeur "xore" alors oui. C'est pour cela que je parles d'info leak : il ne faut pas que le kernel révele quoi que ce soit à propos de cette valeur.
Mais avoir 2 pointeurs encodés ne va pas te dire grand-chose (a part les quelques bits qui font la diffèrence entre kernel et use space + ceux pour l'alignement typiquement) car tu ne sais pas à quoi comparer.
[^] # Re: Journal bookmark inutile.
Posté par pasBill pasGates . En réponse au journal faille Linux 0 day du 19 janvier 2016 . Évalué à 2.
Il y a une autre approche bien plus simple…
Encoder les pointeurs de fonction avec une valeur générée au démarrage (bref un XOR) et decoder la valeur avant de déréférencer le pointeur.
Bon par contre cela demande qu'il n'y ait pas d'info leak dans le kernel qui permette à l'attaquant de deviner la valeur avec laquelle le pointeur a été encodé.
[^] # Re: Compatibilité des drivers
Posté par pasBill pasGates . En réponse au journal A vos risque et périls . Évalué à -1.
La phase est présente, au 1er reboot post-upgrade tu passes par la phase de personnalisation qui inclue cela.
[^] # Re: Compatibilité des drivers
Posté par pasBill pasGates . En réponse au journal A vos risque et périls . Évalué à -1.
Tu cliques sur "Advanced settings" lors de l'installation et c'est dedans.
Pourquoi "Advanced settings" et pas demander à tout le monde ? Parce que soyons franc, la plupart des gens s'en foutent (cf. les téléphones) et veulent simplement les features. Ceux que cela intéresse sauront cliquer dessus pour s'assurer que c'est bloqué.
C'est aussi décrit de manière extensive sur le site de MS pour chaque produit : https://www.microsoft.com/en-us/privacystatement/default.aspx
[^] # Re: Compatibilité des drivers
Posté par pasBill pasGates . En réponse au journal A vos risque et périls . Évalué à 0.
Pour moi c'est très simple, je place la barre au fait que le client :
Aucun de ces éléments ne s'applique ici. MS a dés le début été clair sur ce qui est pris, pourquoi, et comment l’arrêter. Le fonctionnement est clair, stopper la chose est a la portée d'à peu près n'importe quelle personne qui s'en inquiète.
Bref, on peut totalement ne pas vouloir que ses données soient envoyées chez MS, c'est mon cas notamment, mais il est impossible d'appeler cela "espionnage", c'est communiqué de manière transparente, et les méthodes pour ne rien envoyer à MS sont claires.
[^] # Re: Compatibilité des drivers
Posté par pasBill pasGates . En réponse au journal A vos risque et périls . Évalué à -4.
Dans la mesure ou plein de gens se sont vu offrir une présentation à la mord moi le noeud de ce que Windows 10 fait plutôt que ce fait réellement le système, non il n'y a rien de surprenant à la réaction.