On démarre le CD d’installation, on crée une partition NTFS (parce qu’évidemment, si on créait une partition FAT32, question droits d’accès…), on la sélectionne pour le système et on lance l’installation (je passe sur la sélection des trucs à installer).
Quoi d’autre ?
Tout à fait, et quand tu fais cela, tu te retrouves avec un système oû les utilisateurs n'ont pas d'accès en écriture sur \program files, sur \windows, etc…
Ben faut savoir… Tu me parlais de concepts d'admin/user et quand je te rappelle que ceux ci sont dans NT depuis sa naissance tu viens me parler de parts de marché grand public…
L'UAC est arrivé avec Vista en 2007, sans compter que beaucoup sont restés sous XP.
Il n'y avait pas besoin d'UAC pour lancer un soft en admin depuis un compte utilisateur, XP savait le faire aussi.
Pas super user-friendly comparé à UAC ? Oui certainement, mais si on parle d'user-friendly les distribs Linux de l'époque partent sur le talus très vite…
Quand à 'beaucoup sont restés sous XP'… je te dirais qu'il y avait plus de gens sous Vista en 3 mois qu'il n'y en avait sous Linux en 10 ans…
J'ai jamais vu personne utiliser un compte non privilégié sous windows sur un ordinateur personnel.
Tout à fait.
En même temps, à l'époque je n'ai jamais vu personne utiliser … Linux sur un ordinateur personnel (à part les très rares geeks genre moi).
Donc bon, comparer un truc qui était inutilisable par la population en question à Windows c'est plutôt bancal. Tout le problème de la sécurité c'est d'être suffisament discret et transparent pour être utilisable au jour le jour, Linux, sans même parler de sécurité, était totalement inutilisable par la population à l'époque.
Je pense que cela a trait au fait que faire des comparaisons entre Windows et Linux n'a de sens que lorsque l'on regarde un système complet, pas juste le kernel. Et de ce point de vue la openssl fait partie du système vu son utilisation.
Dès les origines de Unix dans les années 70, les concepts d'utilisateurs (dont root), et de permissions sur les fichiers permettaient de mettre en échec toutes les menaces des années 90 (virus principalement) là où Windows, c'était un peu la fête du slip.
Fais moi rire, Windows NT supportait cela depuis sa naissance en 1992.
Et même aux débuts d'Internet grand public dans les années 2000, il a fallu un petit moment avant que Windows ne soit plus une passoire tandis que ces bons vieux mécanismes d'utilisateurs et de permissions protégeaient encore relativement un utilisateur de Unix/Linux.
Non, c'est le fait qu'ils étaient totalement absents du marché grand public surtout. Ils avaient plein de failles à l'époque (comme Windows), y compris pour passer d'utilisateur simple à administrateur. Mais évidemment quand la faille touche 10 machines plutôt que 10'000 cela ne fait pas le même bruit dans la presse…
I do not want to spend money, what alternatives are there?
Unfortunately, in contrast to Microsoft's post-Windows XP Trustworthy Computing initiative which drastically changed its security trajectory, the Linux community at large has failed to invest adequately in security over the past two decades. Partially due to this, there is no direct alternative to grsecurity or even any option that provides a substantial fraction of grsecurity's features or overall benefits.
C'est pas moi qui le dit hein… Ok j'aurais peut-être dû attendre Vendredi…
Le defaut change selon le mode du système. Quand c'est un tablet, il utilise l'UI moderne, quand c'est un desktop-server il utilise l'ancienne UI par défaut.
Et comme tu le dis, le changement était le bienvenu car le mode moderne sur un desktop-server était pas idéal.
Je me demande… Tu t'attends à ce qu'une boite libre n'achète que des produits et services libres aussi ?
Parce-que personne ne fait cela, c'est simplement impossible. Partant de la choisir aléatoirement un critère genre "toute société achetée doit avoir offert ses produits en libre" est arbitraire et… franchement loufoque.
Si je bosses à Amazon, et que demain je crée un traitement de texte sur mon temps libre (bref un truc qui ne concurrence rien de ce que fait Amazon), sans utiliser les ressources d'Amazon, le truc est à moi.
Si je bosses à Amazon, et que demain je crée un service de stockage en ligne sur mon temps libre, alors il appartiendra à Amazon, sauf si j'ai demandé un accord de moonlighting qui a été accepté (et dans ce cas précis il serait probablement rejeté).
[^] # Re: Pourquoi cibler spécifiquement Microsoft ?
Posté par pasBill pasGates . En réponse au journal MICROSOFT et malfaçon. Évalué à 8.
Je crois que tu penseras diffèremment dans quelque années, une fois que tu auras terminé l'école enfantine et aura commencé le lycée.
[^] # Re: de la pluie d'acide
Posté par pasBill pasGates . En réponse au journal MICROSOFT et malfaçon. Évalué à 2.
Oui absolument vu que je suis dans cette situation. J'ai un OS fiable, sécurisé et stable qui s'appelle Windows et j'ai eu ce raisonnement envers toi.
[^] # Re: de la pluie d'acide
Posté par pasBill pasGates . En réponse au journal MICROSOFT et malfaçon. Évalué à 6.
Bref tu nous a pondu un gros caca nerveux sans avoir les données justifiant ton caca nerveux.
Heureusement qu'il y a des clowns comme toi quand même pour nous occuper lors des journées monotones.
[^] # Re: Windows NT et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 3. Dernière modification le 01 mai 2017 à 18:17.
Tout à fait, et quand tu fais cela, tu te retrouves avec un système oû les utilisateurs n'ont pas d'accès en écriture sur \program files, sur \windows, etc…
[^] # Re: Windows NT et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 1.
On va dire que vous ne saviez pas installer NT4 ? Ce n'était certainement pas le cas lors d'une installation normale.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 5.
Si tu faisais l'effort de lire au moins…
Tout cela est décrit dans le powerpoint.
Et cela n'inclut pas tout ce qu'ils ont ajouté depuis.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 3.
Ben faut savoir… Tu me parlais de concepts d'admin/user et quand je te rappelle que ceux ci sont dans NT depuis sa naissance tu viens me parler de parts de marché grand public…
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 1.
Faudra que tu m'expliques comment tu comptes…
https://bugs.chromium.org/p/chromium/issues/detail?id=664411 ( CVE-2016-9651 )
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5209
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5203
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5210
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5211
https://bugs.chromium.org/p/chromium/issues/detail?id=652548 ( CVE-2016-5213 )
qui sont dans la page que j'ai référencée sont tous des RCE.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 1. Dernière modification le 28 avril 2017 à 01:12.
Il n'y avait pas besoin d'UAC pour lancer un soft en admin depuis un compte utilisateur, XP savait le faire aussi.
Pas super user-friendly comparé à UAC ? Oui certainement, mais si on parle d'user-friendly les distribs Linux de l'époque partent sur le talus très vite…
Quand à 'beaucoup sont restés sous XP'… je te dirais qu'il y avait plus de gens sous Vista en 3 mois qu'il n'y en avait sous Linux en 10 ans…
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 1.
Ce n'est effectivement pas pertinent à lui tout seul. Note que Edge a un bug bounty aussi en passant : https://technet.microsoft.com/en-us/library/mt761990.aspx
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 2.
Tout à fait.
En même temps, à l'époque je n'ai jamais vu personne utiliser … Linux sur un ordinateur personnel (à part les très rares geeks genre moi).
Donc bon, comparer un truc qui était inutilisable par la population en question à Windows c'est plutôt bancal. Tout le problème de la sécurité c'est d'être suffisament discret et transparent pour être utilisable au jour le jour, Linux, sans même parler de sécurité, était totalement inutilisable par la population à l'époque.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 2. Dernière modification le 27 avril 2017 à 23:23.
Euuuhhh… https://threatpost.com/google-fixes-12-high-severity-flaws-in-chrome-browser/122223/
Note je dis pas que Chrome est pire que Edge, mais il a des RCE.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à -1.
Je pense que cela a trait au fait que faire des comparaisons entre Windows et Linux n'a de sens que lorsque l'on regarde un système complet, pas juste le kernel. Et de ce point de vue la openssl fait partie du système vu son utilisation.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à -2. Dernière modification le 27 avril 2017 à 19:41.
Fais moi rire, Windows NT supportait cela depuis sa naissance en 1992.
Non, c'est le fait qu'ils étaient totalement absents du marché grand public surtout. Ils avaient plein de failles à l'époque (comme Windows), y compris pour passer d'utilisateur simple à administrateur. Mais évidemment quand la faille touche 10 machines plutôt que 10'000 cela ne fait pas le même bruit dans la presse…
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 4.
Et tu te bases sur quoi pour affirmer cela ?
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 1.
https://www.blackhat.com/docs/us-16/materials/us-16-Weston-Windows-10-Mitigation-Improvements.pdf
# Ah Linux et la sécurité...
Posté par pasBill pasGates . En réponse au journal grsecurity abandonne le gratuit. Évalué à 1.
https://grsecurity.net/passing_the_baton_faq.php
C'est pas moi qui le dit hein… Ok j'aurais peut-être dû attendre Vendredi…
[^] # Re: Je ne comprends pas
Posté par pasBill pasGates . En réponse au journal Mark Shuttleworth annonce l’abandon d’Unity. Évalué à 2.
Le defaut change selon le mode du système. Quand c'est un tablet, il utilise l'UI moderne, quand c'est un desktop-server il utilise l'ancienne UI par défaut.
Et comme tu le dis, le changement était le bienvenu car le mode moderne sur un desktop-server était pas idéal.
[^] # Re: Je ne comprends pas
Posté par pasBill pasGates . En réponse au journal Mark Shuttleworth annonce l’abandon d’Unity. Évalué à 4.
Non elle est toujours là. Clique en bas à gauche de l'écran et elle apparait.
[^] # Re: et si ça n'a rien à voir avec les licences ?
Posté par pasBill pasGates . En réponse au journal Mozilla nous dit que le closed-source est plus bankable. Évalué à 0.
Je me demande… Tu t'attends à ce qu'une boite libre n'achète que des produits et services libres aussi ?
Parce-que personne ne fait cela, c'est simplement impossible. Partant de la choisir aléatoirement un critère genre "toute société achetée doit avoir offert ses produits en libre" est arbitraire et… franchement loufoque.
# Au contraire
Posté par pasBill pasGates . En réponse au journal Mais qui a bien pu casser Amazon ?. Évalué à 10.
J'avais justement pris un jour de congé ce jour là! Preuve que sans moi l'internet s'ecroulerait…
[^] # Re: Ne pas raconter n'importe quoi non plus...
Posté par pasBill pasGates . En réponse à la dépêche Matériel libre : état des lieux après l’échec de la campagne de financement Talos. Évalué à 0.
Ce n'est pas le cas. Selon le contrat :
Si je bosses à Amazon, et que demain je crée un traitement de texte sur mon temps libre (bref un truc qui ne concurrence rien de ce que fait Amazon), sans utiliser les ressources d'Amazon, le truc est à moi.
Si je bosses à Amazon, et que demain je crée un service de stockage en ligne sur mon temps libre, alors il appartiendra à Amazon, sauf si j'ai demandé un accord de moonlighting qui a été accepté (et dans ce cas précis il serait probablement rejeté).
# Dépendences
Posté par pasBill pasGates . En réponse au journal mon FAI pro en panne toute la journée. Évalué à 0.
AWS a eu des petits problèmes hier avec S3 dans une région (us-east-1), si leurs systèmes en dépendait cela pourrait l'expliquer.
[^] # Re: Est-ce réellement un problème ?
Posté par pasBill pasGates . En réponse au journal Et paf, le SHA-1 !. Évalué à 4.
La crypto n'est pas mon domaine mais il n'y a pas de risque d'affaiblir l'algo de manière non linéaire (relatif aux bits enlevés) en faisant cela ?
[^] # Re: Est-ce réellement un problème ?
Posté par pasBill pasGates . En réponse au journal Et paf, le SHA-1 !. Évalué à 0.
160bit vs 256 aussi. Pour certains usages ou les données sont petites cela a son importance.