pasBill pasGates a écrit 16280 commentaires

  • [^] # Re: Compatibilité des drivers

    Posté par  . En réponse au journal A vos risque et périls . Évalué à 8. Dernière modification le 11 janvier 2016 à 01:01.

    Bref, je suis curieux de vrais arguments, car perso de ce que je vois Windows 10 n'est qu'une n-ième grosse mise à jour de Windows Vista, technologiquement pas de saut technologique.

    Les changements par rapport à Vista sont absolument énormes :

    • Toute l'infrastructure de sandbox pour isoler les processus
    • Tout le framework et UI pour les apps 'modernes'
    • Une heap totalement renouvelée, qui s'applique à tous les processus, largement plus efficace d'un point de vue sécurité, et une approche qu'on ne voit sur aucun autre OS majeur
    • CFG pour rendre encore plus difficile l'exploitation de faille, de nouveau une technologie qu'aucun OS grand public n'a (et je doutes même qu'il y ait un seul autre OS l'ayant…)
    • A peu près tous les binaires du systèmes passés par une étape refactoring histoire que le système puisse tourner sur toutes les plateformes depuis un petit téléphones jusqu'au gros serveur en passant par les desktops, tablets et console de jeu.

    etc…

    Il y a plein de changements énormes entre Vista et Windows 10. Il y a eu un vrai saut technologique entre Windows 7 et Windows 8.

  • [^] # Re: Gravissime

    Posté par  . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à 3.

    La différence entre lui et toi et que lui pose des questions quand il ne sait pas quelque chose, alors que toi tu affirmes des choses sur un sujet dont tu n'as même pas pris la peine de t'informer.

  • [^] # Re: Gravissime

    Posté par  . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à 1.

    Ce que tu dois faire est décrit ici :

    http://www.laptopmag.com/articles/disable-automatic-restart-windows

    N'oublie pas de redémarrer le service Windows Update.

  • [^] # Re: Gravissime

    Posté par  . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à 0.

    'deactivate automatic restart updates' sur Google ne me donne "que" 385'000 résultats, et les premiers résultats donnent la bonne marche à suivre.

    Si tu n'as jamais vu de solution, c'est que tu n'as pas cherché.

  • [^] # Re: Gravissime

    Posté par  . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à 7. Dernière modification le 20 décembre 2015 à 21:03.

    Si tu avais une fois dans ta vie géré un parc un peu important de machines, tu saurais que oui, Office plantouille parfois et c'est (parfois) résolu en redémarrant le système. Et pas qu'Office. Mais aussi Exchange (souvent), et bêtement les processus systèmes

    Tu me fais rire ! Non c'est vrai, les bugs dans les produits Microsoft et spécifiquement Windows, moi je ne connais pas, il n'y a que toi et tes potes admins qui connaissent. Parce qu'au fond, toutes ces années que j'ai passé à Microsoft à corriger les bugs rapportés dans Windows en fait ça ne m'a rien appris du tout…

    Le truc out tu as tout raté est que :
    a) Oui redémarrer résoud le problème. Certainement. Je te dirais même que racheter une nouvelle machine, faire une réinstallation de l'OS et des softs résoudrait le problème aussi!

    b) En fait, redémarrer ou réinstaller l'OS ça résoudrait aussi à peu près tous les problèmes sous Linux aussi, et la plupart des autres OS. C'est juste une méthode totalement inefficace (perte de service, …) comparé à la possibilité de lire les logs, utiliser les diffèrents outils d'analyse disponible, … pour trouver quel est le vrai problème et dés lors pouvoir le résoudre sans redémarrer le système.

    c) La grande différence entre les 2 OS est que toi et Christophe êtes tout simplement incompétent pour résoudre les problèmes sous Windows, et plutôt qu'honnètement reconnaitre que vous ne savez tout simplement pas comment analyser et résoudre des problèmes sous cet OS comme vous le savez sous Linux, vous rejetez la faute sur l'OS.

    En fait l'immense majorité des informaticiens le sait. Cela dit c'est bien plus rare ces dernières années. Mais toi tu es au dessus du lot. Tu sais gérer ces parcs beaucoup mieux que les autres.

    Non, l'immense majorité des informaticiens sait que Windows, comme Linux, est un soft, que c'est une suite d'instructions qui s'éxecutent, que ce n'est pas de la magie noire, et que pour comprendre comment cet OS fonctionne et comment le remettre sur pattes quand il pétarde sans redémarrer il faut s'informer, lire des bouquins qui décrivent cet OS, etc… bref exactement comme avec Linux.

    Et surtout, magie, tu sais faire en sorte que les logiciels ne cafouillent pas. Tu peux facilement devenir milliardaire avec ce don, pourquoi tu ne le mets pas en œuvre, hum ? Parce que c'est du flan ?

    Non, parce que soit tu ne sais pas lire soit tu fais exprès et déforme mes propos. Je n'ai jamais dit qu'il n'y avait jamais de bugs et problèmes sous Windows. J'ai tout simplement dit que dans 99% des cas il n'y a pas besoin de redémarrer Windows pour régler le problème et qu'utiliser la méthode du redémarrage est une preuve d'incompétence.

  • [^] # Re: Gravissime

    Posté par  . En réponse au journal Un mot de passe, ça s'efface chez Grub2. Évalué à -3.

    Alors cela s'est bien amélioré, il faut quand même le dire mais … nombre de fois ou Outlook / Office (toutes versions confondues) et plein d'autres produits merdoie lamentablement et de manière bizarre ce à quoi je répond … reboot on en parle après … et que l'on en parle plus

    Tout ce que cela signifie est que tu es incompétent pour administrer ces systèmes, et rien d'autre.

    mais c'est pareil sur les serveurs … un produit mal écrit, ou du réseau pas franchement stable et tu peut être sur d'avoir des trous dans la mémoire

    Non vraiment, arrètes de t'enfoncer, ce que tu écrit est totalement ridicule et faux.

  • [^] # Re: Budget

    Posté par  . En réponse au journal La fin de Firefox OS. Évalué à 1.

    Tu m'excuseras de trouver ce commentaire ridicule…

    Mozilla a certainement plus fait pour répandre les LL sur la machine de Mr tout le monde que n'importe quel autre projet libre à part Android.

  • [^] # Re: Budget

    Posté par  . En réponse au journal La fin de Firefox OS. Évalué à -4.

    Que ces dirigeants là doivent être remplacés, je ne vais pas juger, je ne suis pas assez Mozilla pour juger.

    Mais il est certain que si ils doivent partir, alors il faut les remplacer par un vrai CEO et un vrai CFO, pas par un comptable et une secrétaire…

  • [^] # Re: Budget

    Posté par  . En réponse au journal La fin de Firefox OS. Évalué à -7.

    Mais cela n'a RIEN à voir que le but soit lucratif ou pas !

    Développer l'écosystème du libre, faire que Firefox se répande, etc… cela demande les même compétences, cela demande des contacts, … c'est la même chose. Simplement l'objectif final est diffèrent.

    Si tu crois qu'enlever ces rôles pour y mettre un comptable et une secrétaire sera une avancée positive c'est que tu n'as pas compris grand chose aux interactions à ce niveau entre larges sociètés. Le résultat sera un désastre.

  • [^] # Re: Budget

    Posté par  . En réponse au journal La fin de Firefox OS. Évalué à 2.

    Je n'ai parlé que du président de la MoFo, du trésorier, du directeur, etc.
    Ce sont des fonctions classiques d'administration et je ne vois pas pourquoi cela mériterait un salaire d'un million de dollars par an.

    Faut revenir sur terre hein… un CEO ou un CFO ce n'est pas une secrétaire et un comptable !

    Ces gens là font bcp, bcp plus que de la simple administration. Ils développent la vision de la boite sur plusieurs plans, ils utilisent leurs réseaux de contacts pour aider la boite, ils savent manager des groupes larges de manière efficace, … Ce n'est pas un boulot simple.

    Il y a une bonne raison pour laquelle ils gagnent plus que n'importe quelle développeur. Ca ne veut pas dire non plus qu'il est justifié de les payer 23 millions par an comme certaines boites, mais ce sont des gens très importants pour la boite qui ont certainement une valeur ajoutée.

    Croire que tu peux les remplacer par un gars a 100K/an, réutiliser le reste pour payer des devs et que tout sera mieux c'est vraiment se mettre le doigt dans l'oeil très profondemment. Il n'y a pas que le technique qui importe dans une boite hein… et je dis ça en tant qu'ingénieur.

  • [^] # Re: Dieu n'existe pas

    Posté par  . En réponse au journal Paris sous les balles. Évalué à 4.

    Ben oui t'as tout à fait raison.

    Il y a doute, un gros doute.

    Ensuite, effectivement on peut y croire, ou pas.

    On peut aussi croire que ce sont les extra-terrestres qui sont en charge de toute d'ailleurs, voire Satan.

    Ou même Donald Duck pour certains, la probabilité est la même.

  • [^] # Re: Dieu n'existe pas

    Posté par  . En réponse au journal Paris sous les balles. Évalué à 1.

    Et encore, si ce n'était que ça…

    Mais il a aussi empeché Linux de vaincre sur le desktop !!!

    Quelle enflure !

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 1.

    Aucune contradiction.

    Ne pas vouloir être considéré comme responsable de la découverte de failles par des blackhats != vouloir sécuriser la planète

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 1.

    Obliger à concourir avec des béquilles? Tu te fiches de qui là? MS n'obliges personne à quoi qu ce soit. Il ne donnent pas leurs outils internes c'est leur choix, rien n'empêche les autres de développer eux même, se mettre ensemble pour développer… des outils.

    Faudrait quand même arrêter avec cette obsession a vouloir critiquer MS à tout prix, ca en devient pathétique.

  • [^] # Re: Euh moins connus que qui ?

    Posté par  . En réponse au journal Hommage aux Hackers moins-connus. Évalué à 9.

    Bill Gates a en partie écrit le BASIC de l'Altair entre autres. De l'assembleur sur une machine de ce type, on va dire que c'est légerement plus bas niveau que ce que 90% des gens sur linuxfr font :)

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 1.

    Dépend comment tu vois ca. SAGE a aidé à sécuriser des softs comme Word, Excel, Windows,… et a trouvé un sacrément large nombre de bugs dedans durant leur développement. Quand tu penses au nombre d'utilisateurs de ces softs, je te dirais que très peu de fuzzers ont eu un tel impact.

    Maintenant, est-ce qu'il aurait pu avoir un impact bcp plus large en étant public, c'est évident que oui.

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 3.

    C'est là ou tu as tout faux. De nouveau tu fais des supputations sur ce que tu ne connais pas.

    J'ai passé la majorité de ma carrière à faire des fuzzers oui. Je n'étais pas dans l'équipe qui a fait SAGE par contre. C'est une autre organisation. Mes fuzzers étaient du type pseudo-aléatoire et pas des solveurs.

    Je n'ai aucun intérêt personnel à aller dire que SAGE est le top du top. Ce n'étais ni moi ni mon groupe et ce n'est plus ma boite depuis 2 ans. C'était plus proche d'un concurrent a mon travail qu'autre chose mais je regarde la chose honnêtement, c'est simplement un constat de ce que j'ai vu.

    Mais visiblement tu as du mal à accepter une opinion qui va contre la tienne.

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 0.

    Ton opinion biaisée à l'emporte pièce sur MS, on va dire qu'elle vaut ce qu'elle vaut tu sais…

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à -2.

    Belle idée, on y avait réflechi (pour des outils autres que SAGE), et au final ce n'était pas faisable car :

    a) Il faudrait un moyen de s'assurer que la personne est vraiment l'auteur du soft --> etape manuelle et couteuse

    b) Il n'est vraiment pas simple de supporter un utilisateur qui n'a pas acces au soft, donc pas la possibilité de voir tout ce qui se passe de près, à moins d'investir sérieusement dans l'UI, logs, etc… il fera régulirement appel au support, et c'est chiant

    c) Il faut gérer le cas ou le gars te fait un upload de son soft qui n'est qu'wrapper qu'il utilise pour tester le soft de qq'un d'autre, pas simple

    d) C'est bien trop d'efforts pour un truc qui au final n'est pas le coeur de métier de l'organisation ou j'étais. Cette org ne s'occupe pas de sécuriser la planète, mais les softs et services MS.

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 4.

    C'est pourtant simple. MS a des dizaines et dizaines d'ingénieurs sécurité et a (avait ?) des milliers de testeurs, dont l'objectif est de trouver des bugs.

    Vu l'objectif, ils essayent évidemment tout ce qui se trouve à l'exterieur, car c'est évidemment plus facile d'utiliser un truc existant qu'un truc qui n'existe pas et qu'il faut écrire. Il y a d'autres contraintes qui entrent en jeu aussi, genre le support disponible, possibilités d'intégration, voire même la licence, mais évidemment que les groupes sécurité MS regardent tout ce qui est publique est recommandé publiquement, ils ne sont pas stupide.

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à -1.

    Non, c'est l'exploration des chemins qui prend un temps infini, l'exploration des branches est réalisable.

    Oui, mauvaise utilisation de termes, c'est évidemment les chemins que SAGE suit.

    Pour quelqu'un qui a passé 8 ans à travailler avec c'est un normal quelque soit le logiciel.

    Ah si seulement c'était vrai, ca me ferait plaisir…

    C'est quoi le plan vu que tu a était dans le secret des dieux ? Se toucher la nouille en expliquant qu'on a la plus grosse mais en la cachant du mieux que l'on peut ?

    T'as raté la partie ou MS Research a publié plusieurs papiers décrivant ce qu'ils font ?

    Il n'y a que le code source qui compte maintenant ?

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 3.

    Non il est en interne uniquement.

    Pour ce qui est du coté "vaporware", ben tu peux croire ce que tu veux… ou voir des choses genre http://talosintel.com/files/publications_and_presentations/presentations/Fuzzing_and_Patch_Analysis-SAGEly_Advice.pdf

    qui, oh surprise, est une tentative de réimplementer SAGE en open source… par qui ? Par un ancien ingénieur sécurité de MS (ancien collègue à moi plus précisement) qui est maintenant chez CISCO.

    On se demande pourquoi, après avoir quitté MS, il essaierait de réimplementer un vaporware…

    Ou https://www.syscan360.org/slides/2012_EN_SecurityEngineeringAndProductImprovementsInTheNewOffice_TomGallagher.pdf avec le manager securité d'Office décrivant l'utilisation de SAGE pour Office.

    Conspiration globale à travers la boite, et même les ex-employés pour vanter un outil interne qui n'existerait pas ?

    On va dire que c'est plutôt amusant comme idée, mais pas très réaliste.

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 7.

    oui, et afl qui a mouliné quelques jpg a trouvé de nouveaux bugs dans des produits microsoft. OMG! le fuzzer le plus perfectionné au monde qui ne travaille pas au hasard et qui prend tous les branchements de code aurait laissé passé un bug? Mais comment est-ce possible?

    Comment ? Ben en comprenant que les branches ca ne fait pas tout, et qu'explorer toutes les branches prend un temps infini. C'est pas pour rien qu'au premier post j'ai parlé d'asymptotique.

    afl, tout simple et bête qu'il est, va être capable de dire, tiens le chemin d'exécution:
    a() -> b() est différent de b() -> a(). Et différent de a() -> a() -> a() -> b() -> a() -> crash!

    Parce que tu crois que SAGE ne connais que a()->b() ? Mais tu n'as vraiment rien compris à SAGE mon cher ! Il suit l'execution depuis le debut du processus, il ne se limite pas un subset.

    Sage, ça reste ardu à mettre en oeuvre. Les équivalents, idem. C'est lourd, c'est long, ça demande un temps délirant à démarrer et il faut 25 ingénieurs qui le surveillent en permanence.

    Mais arrètes de raconter n'importe quoi… SAGE c'est un répertoire avec executables et libraries, c'est un executable a lancer avec diverses options, tu mets 1h grand maximum à comprendre comment le lancer et quelles sont les options principales, et tu peux le lancer à l'aveugle avec des options de base en 5 minutes.
    C'est quand même dingue… tu ne l'as jamais utilisé, et tu essayes d'expliquer à un gars qui l'a utilisé de manière répetéee comment il marche…

    Combien d'années de recherches à MS? Combien d'années.hommes? Et tu as afl. Quelques semaines de taf d'une personne. Nombre de bugs trouvés: énormes. Il faudrait que MS research porte afl sur leurs produits et teste un coup. Je serais très curieux du résultat.

    C'est ta naiveté qui te fait croire que MS ne connait pas AFL et ne l'a jamais utilisé et testé ?

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 2.

    Ce n'est pas spécialement "pour te protèger" (quoique ca joue un peu), mais plutôt pour "que tu ne me fasses pas la gueule quand ils t'attaquent, et que je n'aie pas l'air con si ils trouvent des failles dans mes propres softs"

    Rien à voir avec l'avantage concurrentiel. J'ai vécu la chose personnellement, je suis sur à 100% de la raison. Je ne l'aime pas beaucoup, mais je la comprend d'un point de vue business.

  • [^] # Re: Rien de nouveau

    Posté par  . En réponse au journal Fuzzing : éprouver les entrées de vos développements. Évalué à 3.

    Si SAGE donnait de bons résultats, ce serait un produit connu, vendu et/ou livré avec Visual Studio.

    LOL, justement non. MS ne fera jamais cela, pour la même raison qu'aucun des outils que j'ai développé là-bas n'a été publié.

    Si MS publiait un outil offensif comme SAGE ou autre fuzzer non ridicule (ils ont publié un minifuzz qui était un gros gag et qui ne trouvera jamais rien de sérieux, il a été publié principalement pour que des débutants puissent gentiment se mettre à faire des tests de sécurité) les gens utiliseraient un outil MS pour attaquer des softs d'éditeurs et clients de MS, voire des softs MS. MS ne veut certainement pas entuber tout le monde en faisant ca, et n'a certainement pas envie que des gens trouvent des failles dans ses softs, avec ses propres outils d'attaque.

    Et pour le premier guignol qui voudrait sortir "si ils avaient fait tourner ces softs eux-même personne ne trouverait de failles dans les softs MS", j'invite ce guignol potentiel à s'informer et comprendre comment des softs qui doivent explorer un espace de recherche infini fonctionnent.

    En fait même s'il donnait des résultats moyens, vu que Microsoft n'a aucune hésitation à sortir des trucs honteux lorque l'occasion se présente (je pense en particulier à Microsoft Dynamics NAV, anciennement Navision, car je l'ai connu, mais il y a bien d'autres exemples).

    Ce que j'aime chez toi c'est cette force à parler de trucs dont tu ne connais rien et dire qu'ils sont à chier.