pasBill pasGates a écrit 16046 commentaires

et j'ai fait l'erreur de demander à ceux qui ont plussé et non pas à l'auteur, donc je reprend la question : de combien de temps juges-tu qu'il faut avant de sortir la faille non corrigée? 6 mois? 1 an? 10 ans? 100 ans?

Cela dépend de plusieurs facteurs :

• La complexité du correctif et du code ou se trouve le bug
• L'impact de la faille (genre tu trouves une faille simple à corriger, mais qui est dans un template C++ largement utilisé, ça amène à faire des correctifs pour 200 produits diffèrents)

Il y a des patchs que MS pourrait sortir en 3 semaines sans problème, et dans de rares cas même en 2-3 jours. Il y a aussi d'autres patchs qui vraiment prennent des mois et des mois à cause de la complexité énorme du problème.

pourquoi la norme tend-elle alors vers 90 jours pour les autres (y compris des boites qui gèrent plus d'1 milliard d'instances) et que juste Microsoft ne devrait pas avoir "si peu" de temps pour corriger?

Je ne connais aucune boite qui a à gèrer un écosystème aussi large, complexe et hétérogène que MS, et surtout, j'en connais très très peu qui font la masse de tests que MS fait. L'effort pour s'assurer que rien ne casse est largement, je dis bien largement, plus gros chez MS que chez la concurrence. MS fait bien attention à ce que même la plupart des softs pourris continuent à fonctionner là oû la plupart des autres se fichent royalement de casser ces softs là.

Android ? C'est un OS ou il y a très peu de variance en réalité : du HW diffèrent mais il n'y a quasiment aucune possibilité d'extension/modification de l'OS dans les configurations supportées. Google ne fait du support que pour les versions très récentes en plus.
Mac OS / iOS : Le HW est totalement sous contrôle de la boite
Firefox : Problèmatique très diffèrente, pas d'intégration dans un OS, pas de nombreux softs pour certains datant de Mathusalem qui réutilisent sont moteur de rendering, etc…
Chrome : Idem que Firefox

A noter que plus on attend, et plus on a de risques qu'un autre, moins sympa que ceux qui acceptent l'embargo, trouve la faille et l'exploite… du coup je suis plus convaincu par l'utilité d'un nombre de 90 pour tout le monde, arbitraire

Moi j'appelle ça la belle théorie qui en pratique n'a aucune valeur. Pourquoi ? Parce qu'en pratique on n'a quasiment (c'est arrivé mais en 13 ans ca doit se compter sur les doigts des 2 mains) jamais vu 2 personnes nous rapporter la même faille durant la même période chez MS. Les chances qu'un gus la trouve dans les 20 ou 30 jours supplèmentaires pour sortir un patch de qualité sont ridicules, surtout en face du risque qu'un mauvais patch poserait à la plupart des gens.

MS a depuis des années des sources multiples niveau télemetrie, et dés le moment ou il y a détection qu'une faille est peut-être exploitée de manière active, MS se met à évaluer le risque de sortir un patch à la vite comparé au risque encouru par l'exploitation.

Faut revenir sur terre un peu, MS est dans ce business de corriger des failles depuis 15 ans, ils ont une expèrience et une qualité construite pendant tout ce temps. A peu près toutes les boites de l'informatique moderne (Google, Amazon, VMWare, …) sont allées prendre des employés de chez MS pour construire leur propre teams sécurité, c'est pas un hasard. Ils savent ce qu'ils font, et plutôt qu'aller dire qu'ils s'en foutent/sont incompétents/… quand ils font qqe chose que vous ne comprenez pas, il serait humble de vous demander si il n'y a pas une bonne raison à leur comportement.

Oui, ça, ça doit arriver, on va dire pour être large, 15 jours (le temps de trouver la faille exacte dans le code, de patcher, et de faire tourner les tests de non régression qui sont prêt à être lancés) après l'étape 1.

Ben oui, bien sur ! En fait, MS pendant plus de 10 ans a mis bcp plus longtemps pour sortir ses patchs parce que…. parce que … ils étaient en vacances ? Ils s'en fichaient ? Ils étaient autour de la machine à café ? Ils sont totalement incompétents et ne savent pas écrire plus d'une ligne de code par jour ?

Il y a évidemment les tests de fonctionalité, il y a aussi les tests de localisation, de compatibilité descendante avec les 236223 diffèrentes configurations HW et softwares existants (eh oui, un browser ca touche la 3D et autres et plein de softs réutilisent le moteur de rendering d'IE sans parler des extensions et autres), les tests de sécurité pour s'assurer qu'on n'a pas ajouté un problème de sécurité en essayant d'en enlever un, un deep dive pour essayer de trouver les failles similaires, etc…

Maintenant essayes de mettre ça dans ton scénario imaginaire de 2 semaines pour corriger et tester. Parce qu'évidemment ces tests ne vont pas commencer à tourner avant que le patch soit prèt, le deep dive des ingénieurs sécurité prend du temps, surtout si ils sont en train de bosser sur d'autres failles en parrallèle. Et souvient toi qu'on parle ici de toutes les versions touchées, ça pourrait être IE8, 9, 10, 11 versions desktop, Metro et mobile.

Ensuite il y toute la problèmatique du nombre de gens disponibles (dans le team IE, et dans les teams sécurité, Windows, …), parce qui si il se trouve que le mois précédent un ou deux gars se sont barré chez une autre boite et que des remplacants n'ont pas encore été trouvé, et qu'en même temps une avalanche de trucs arrive sur ce team, ben c'est la merde, et non, tu ne peux pas garder 3 employés sous la main juste au cas ou dans chaque équipe parce que tu es le riche MS. Ces 3 employés qui ne servent pas à grand chôse sauf en cas de problème ils vont se faire chier, se plaindre qu'ils ne font pas grand chose d'intéressant et se barrer car ils ont de l'ambition, veulent voir leur carrière progresser et il y a 200 boites qui leur offre un job tous les mois.

MS pourrait regarder le patch et éviter certains tests parce que clairement cela ne touche pas ce code ?
Ah ben ça semble logique effectivement… sauf que dans les 3 mois précédents le team a corrigé 6 ou 7 bugs de fonctionalité pour des clients et leur a envoyé un patch. Maintenant ces changements vont se retrouvé deployés chez tout le monde, 1 milliard de personnes donc, potentiellement, et donc toutes ces sections de code qu'ils touchent doivent étre couvertes en profondeur. Bref, faut quasiment tout tester assez souvent.

Mon avis perso est que tu ne te rends pas du tout compte de tout ce que cela implique de tester une gamme, parce qu'on parle de plusieurs versions à corriger le plus souvent hein, de systèmes d'exploitation ou de browsers qui sont utilisés de 20'000 manières diffèrentes avec des milliers de dépendences diffèrentes par 1 milliard de personnes.

Oh tu sais, niveau régressions, je penses qu'on peut prendre n'importe qui en comparaison à MS, et MS sortira gagnant. Personne dans l'industrie ne fait autant attention à ne rien casser qu'eux à ce niveau.

Tu as vu ou qu'Azure indisponible 6 heures était du à ce patch, et qu'ils ont corrigé le problème pour eux seulement en passant ? Moi je vais appeler ça une énorme supputation sans rien de solide…

Tu aurais raison si la description de l'article était vraie pour toute personne qui a installé le patch, le truc est que ce n'est pas le cas, seuls certains ont eu le probléme.

Raison ? C'est du a des configurations particulières, et évidemment il n'est pas possible de toute tester.

Mais évidemment qu'ils vont sortir un patch. C'est exactement ce que mon post dit ! Simplement ils n'ont pas pu arriver à la date voulue.

Quand à ne pas mettre les moyens. Les moyens sont là et ils l'ont été depuis des années, il y a des centaines de patchs qui le montrent. J'en sais quelque chose j'ai passé des années et des années à faire exactement ce boulot là-bas, les gens qui s'occupent de ces patchs je les connais personnellement.

Ou comment ne rien comprendre à la problématique…

Je te donnes un autre scénario, qui lui est arrivé des dizaines de fois quand j'étais chez MS :

1) Microsft est informé des failles
2) Microsoft regarde, trouve que l'info est correcte et se met au boulot
3) Les devs se mettent à créer les patchs pour toutes les versions vulnérables
4) En parrallèle des ingénieurs sécurité se mettent à regarder si il y a des failles similaires
5) Peu avant la sortie prévue, des failles très similaires sont trouvées par 4) ou des régressions sont trouvées par les testeurs qui vérifient les patchs crées en 3)

Résultat, MS se trouve devant le choix de :

1) Sortir un patch qui casse des trucs, et que les gens au final n'installeront pas, mais qui donnera toutes les infos sur les vulnerabilités aux 'bad guys'
2) Sortir un patch qui corrige le problème, mais qui ne corrige pas X autres problèmes extremement similaires et qui seront vite détectés une fois la faille originelle publique
3) Se remettre immédiatement à bosser sur un patch qui résoud les problèmes décrits plus haut, et retarder la sortie

Inutile de dire que 3) est la solution au final qui est la moins mauvaise.

Ca fait plus de 10 ans que MS corrige les failles trouvées dans IE, tu crois que comme ça, au hasard, ils se sont dit "ah ben non, ces 4 là on a pas envie, on va aller faire du kayak plutôt" ?

LOL…

Sagic

51 BOULEVARD DE LATOUR MAUBOURG

http://www.sgdsn.gouv.fr/site_rubrique45.html

Déclaration officielle de Microsoft, qui a le mérite d'être assez précis sur le travail qu'ils ont effectué. Tu veux quoi d'autre?

C'est sympa de voir à quel point tu fais confiance à MS.

Le problème de l'OOxml notamment sur wikipédia, c'est qu'il n'y a pas de différenciation entre la version transitionnal et strict. Difficile de savoir à quoi font allusion les sources.

Tout à fait. Mais n'ayant pas assez d'info, tu assumes que le support est incomplèt. C'est bien, ce serait bien si tu faisais de même avec ODF.

Tu noteras en passant que Transitional est aussi ISO hein.

OCR et le support d'images est probablement l'étape 0 après le support du texte pour ce qui est d'analyser les emails.

A part emmerder l'utilisateur qui reçoit ton email, ça ne servira à rien.

Je viens de montrer que c'est le cas avec l'ODF 1.2. Je cherche à savoir si c'est le cas avec l'OOxml strict Pour l'instant je n'ai pas trouvé de sources fortes.

Tu n'as rien montré. Tu as juste pris des déclarations et assume que cela veut dire support complet et fidèle.

Voilà pourquoi je me méfie de Wikipédia sur ce point. La plus part des déclarations sont du genre "au fait on ajouté un format" alors que ce format (OOxml strict) demande un long travail et par conséquent l'éditeur fait pour ce genre de travail des annonces plus importante qu'une simple ligne dans le changelog d'un logiciel.

Mais c'est pourtant exactement ce que tu as fait pour ODF. Tu n'as rien amené prouvant que les softs pour ODF le supportent proprement.

2 softs qui supportent ODF ? Mais tu ne m'en as donné qu'un : OO/LO et tu n'as rien amené qui montre qu'ils le supportent de manière fidèle et complète.

Ces 2 softs sont en gros les mêmes, 90% du code voire plus entre les 2 est identique, l'architecture des 2 softs est absolument identique. Il y a autant de diffèrences entre ces 2 qu'entre Office 2013 et 2015 ou 2010 et 2013. Alors si tu regardes les choses comme ça c'est simple : prend Office pour Mac et Office 2013. Voila, simple. Mais c'est se fourvoyer que regarder les choses de cette manière.

Pour avoir un format vraiment intéroperable, il faut 2 implèmentations diffèrentes. OO/LO ne sont pas différents.

Maintenant si tu veux juste une annonce de softs qui supportent OOXML, va voir le lien sur Wikipedia, il y en a plein qui disent supporter OOXML. Mais moi je suis réaliste, je sais qu'il y a une différence entre dire qu'on supporte un format et le supporter vraiment.

Tout à fait, un partout. Et c'est bien ça qui me fait rire vu que ce que l'on m'a répété sur ce site il y a quelques années quand je disais qu'ODF était incomplet et intimement lié a OO.

Pourquoi tu évites le fond du sujet et préfères te rabattre avec ton fiel sur MS (comme d'hab) ?

Tu as oublié toutes ces belles paroles que tu nous as sorties il y a des années comme quoi ODF était tellement mieux et plus pérenne que OOXML car lui allait offrir un vrai format de document bien décrit et tout et tout contrairement à ce OOXML énorme, mal décrit avec soi-disant des parties manquantes et offert par le mal incarné ?

Mince hein, aujourd'hui tu nous dis toi-même qu'il n'a pas d’interopérabilité avec ODF… Plus de 8 ans et Google/Oracle/IBM/le monde du libre/etc… ne sont pas foutu de faire passer un document ODF d'un soft à l'autre.

Bref, les faits parlent d'eux-mêmes : OOXML n'est pas pire qu'ODF niveau interopérabilité

Merci pour ce grand moment d'humour !

Ravi de voir que tu préfères un format de document sans description de formules ou de change tracking (ODF 1.2 n'est pas ISO) a un format qui lui décrit tout en long et en large parce que cela ferait trop de pages…

Je notes aussi que ce merveilleux ODF si compact n'est implémenté correctement par personne plus de 8 ans après sa standardisation.

Mais tu arrives quand même à me dire qu'ODF est mieux alors que les faits prouvent clairement qu'il n'a pas fait mieux niveau interopérabilité

2) Tu es amusant. Tu veux une preuve que les suites supportant ODF le supportent mal, sinon tu assumes qu'elles le supportent bien, et pour OOXML tu veux la demonstration dans le sens inverse ?

Si tu veux mon avis, des softs qui couvrent a 100%, de manière 100% correcte, ODF ou OOXML, il n'y en a qu'un pour chacun des formats au meilleur des cas, et probablement zero en fait.

Oh on peut faire plein de trucs si on commence comme ça.

Une norme sans definition de formule (ODF < 1.2, car 1.2 n'est pas ISO) tu veux appeler ca comment pour une suite Office qui contient un tableur ?

SSH à 20 ans c'est 10 ans de plus … désolé

Super ! Mais tu parlais de MS mettant 30 ans pour comprendre…

ouvert peut être … mais implémenté uniquement sur du Microsoft, c'est ton droit de considérer cela comme universel (bon ok Suse réfléchi)

https://openwsman.github.io/

Vraiment… tout ce que tu as montré sur ce fil c'est que tu ne connais absolument rien a WS-Management, je te suggères d'avancer avec des pincettes quand tu affirmes des trucs dessus

Cela ressemble quand même à une usine à gaz pour gérer des centaines de serveurs Windows

Si tu savais de quoi tu parles, tu saurais que c'est justement l'inverse

donc cela ne concerne que les sociétés qui ont trop d'argent.

Idem

La licence coute combien ? juste pour infos ;-)

De nouveau, si tu savais de quoi tu parles tu saurais que c'est dans l'install de base

SSH répond aussi au besoin simple, d'une connexion d'un poste vers un ou plusieurs serveurs

Et comme d'hab, si tu savais de quoi tu parles, tu saurais que WS-Management c'est la même chose…

Désolé mais ton "SOAP base protocol" s'adresse aux lecteurs de 01 informatique pas aux petits artisans ni au "normal people"

Non, il s'addresse aux administrateurs qui font l'éffort de passer 15 minutes à comprendre une technologie plutôt que faire des préjugés crasseux. Tu n'en n'avais clairement jamais entendu parler, ca ne t'a pas empêché d'affirmer que MS n'avait jamais rien eu du genre, et quand tu t'es fais remonter les bretelles tu as passé bien 30 secondes a lire la page Wikipedia sans chercher à comprendre ce que c'était, mais juste en cherchant des mots dans la page qui pourraient sauver ta position.

Si tu avais fait un minimum d'effort, tu te serais rendu compte que tous ces admins qui utilisent Powershell en remote, ben ils utilisent justement WS-Management comme infrastructure pour le faire, la plupart sans même le savoir, car justement c'est simple et en grosse partie transparent.

Le probleme dans ta logique est qu'OOXML n'est pas fermé.

Heureusement que le ridicule ne tue pas en effet, parce que quand on sort des aneries du genre :

SSH c'est l'exemple type : Un négatif de M$, une technologie et un protocole fiable, sécure, universel ET GRATUIT … le couteau suisse de la maintenance

on est effectivement ridicule !

http://en.wikipedia.org/wiki/WS-Management

• standard ouvert et universel
• fiable
• sur
• implementé par MS depuis plus de 10 ans

Suffit de lire les posts d'Albert ici même (cf. http://linuxfr.org/users/cbri/journaux/les-echos-guerre-de-religions-entre-ooxml-et-l-odf#comment-1606757 ). Il reconnait lui-même qu'ODF ne passe pas proprement d'une suite à l'autre.

Pour OOXML, t'as une liste sur Wikipedia : http://en.wikipedia.org/wiki/List_of_software_that_supports_Office_Open_XML

J'ai dit support complet et fidèle.

Parce que bon, sinon il y a plein de softs qui prennent en charge OOXML, LO et OO et Google Docs aussi notamment.

Pour la définition de victoire dans un marché précis, oui certainement.

Tout à fait.

T'as juste raté l'épisode (et on sait tous que tu le fais exprès afin de répandre ton FUD répugnant) ou Transitionel est aussi dans le standard ISO.

-> Ce que sort Office 2010, ET Office 2013 est un format standardisé

Tres amusant, je traduit: "personne ne sait ecrire dans le format strict (meme pas nous car nous avons ete incapable d'imnplementer cela alors que nous avons ecrit le format) mais nous somme capable de le … lire … de facon preliminaire (traduction: en theorie cela devrait marcher mais bon on en est vraiment pas sur!)

J'ai déjà démontré 2 fois, de manière irréfutable, dans ce fil que tu racontes des conneries, et là tu te décides à le faire une 3ème fois ? T'en as pas marre de sortir connerie sur connerie consciemment ?

Certainement. Une fois que tu auras fais de même pour ODF. Et on parle bien de support complet et fidèle hein