Il n'y en a eu aucun de reporte sur aucune ML de securite, bugtraq ou autres, le gars aurait pu se faire une bonne grosse pub pourtant, et nombre de hackers le font regulierement.
Vous pouvez chercher des explications aussi longtemps que vous voudrez, la realite est qu'avec une bonne partie des sources de l'OS le plus vise de la planete dehors, personne n'a encore devoile de faille. Et dire que les sources de Windows ne sont pas d'interets aux gens cherchant des failles, c'est un gros gag.
Bah tu peux très bien avoir un dual-boot depuis 10 ans, et t'offrir de temps à autre un peu d'exotisme sur ce système de rebelle que l'on appelle linux, et au final totaliser moins de temps effectif qu'un newbie qui aura fait le «grand saut».
C'est une possibilite, mais c'est pas la realite, j'etais sous Linux exclusivement pendant 2 ans, je ne l'utilise plus aujourd'hui comme mon OS principal, mais il est toujours la et est utilise regulierement.
Quand a faire de "l'exotisme", sachant que j'ai passe mes premiers mois en console uniquement car a l'epoque(1995) les cartes graphiques sous Linux c'etait pas gagne, que j'ai passe 2 ans exclusivement sous Linux alors que les GUI n'etaient pas encore ce qu'elle sont aujourd'hui, et que je connais techniquement ce systeme probablement mieux que nombre de gens ici, je doutes qu'on puisse appeler ca de l'exotisme.
Sans dire «Linux c'est parfait», j'espère que tu as fais quelques commentaires sans parler des failles et défauts de Linux ou comparaison avec MS, malheureusement pour moi, je les ai ratés.
Ca peut tres certainement se distribuer, la question est, combien de temps est tu pret a attendre la reponse a ta requete.
Le reseau sur lequel Google a ses clusters, c'est pas un reseau comme internet avec des gros temps de latence, des liens qui tombent de temps en temps, ...
C'est basse latence, haut debit et haute disponibilite, chose qu'il est impossible a faire sur l'internet en distribue
Il y a des problemes qui se pretent tres bien a etre distribues sur internet, genre SETI@Home et autres, car ils n'ont pas besoin de faible temps de latence ou de haute disponibilite du link, un moteur de recherche par contre, il est sense te filer une reponse de qualite a ta requete dans les 3 secondes qui suivent, c'est un tout autre probleme.
Quand à ce qui est du buffer overflow de 1 octet il est toujours présent depuis sa découverte 2 jours après la publication du code et tjs utilisable pour l'autre j'ai pas eu de news, sa montre que y a 0% des personne qui ont eu le code en main qui ont remonté le bug...
Publie ? Un lien ?
enfin sa montre bien les limites du modèle M$...
Ils essayent de se convaincre eux-même que leur modèle tiendra...
Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?
On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...
Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...
Mais il fallait bien que tu lances une petite connerie non fondee et non argumentee sur MS, c'etait inevitable, ton post aurait pris le risque de paraitre interessant sinon.
C'est normal _PATATE_ : il est illégal de posséder les sources de MS en les
téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
coordonnées ensuite!!!
Si t'appelles machintruc@yahoo.com une coordonnee identifiable, c'est que t'es pas du meme monde que moi.
Il y a un tas de trucs dedans qui sont compilables, t'as pas besoin de pouvoir compiler le kernel pour compiler le service snmp, et inversement, etc...
Etre en permanence sur un site qui est contraire à ses propres opinions juste pour le plaisir de traiter tout le monde de con, c'est très dommage non ?
Tout le monde ?
Ah bon, pourtant moi je vois plein de gens qui font des remarques constructives ici.
Mais faut avouer que c'est quand même dommage que le premier posteur sur un site pro-linux soit un anti-linux primaire.
Si effectivement pour toi ne pas dire "Linux c'est parfait" c'est etre anti-linux primaire, alors on va pas s'entendre, c'est sur.
Maintenant, l'anti-linux primaire que je suis sense etre est probablement sous Linux depuis plus longtemps que 95% des blaireaux qui sortent des aneries sur MS ici, alors bon...
Maintenant, sur le fait que le code ai été volé sur la machine Linux en question, je n'avais pas eu cette info. Tu pourrais nous en dire plus PbPg ?
Le code etait utilise par MainSoft, une boite qui fait des portages Unix<->Windows, dans le package on pouvait trouver un core dump de vim, et des textes pondus par un gars de Mainsoft.
J'ai pas MISC, mais je connais WS03 suffisament pour savoir qu'il n'a pas de "stack protection", certains des binaires de WS03 sont compiles avec la mesure de protection fournie par le compilo de VStudio, mais si tu lances un binaire qui n'a pas ete compile avec, il sera pas protege.
D'autre part, si tu lis la doc sur cette feature (cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vc(...) ) ils disent clairement que ca ne protege pas de tous les BO.
Donc, si je comprends bien, ne pas donner les sources,c'est mal, mais quand les sources sont disponibles, ca te permet de corriger des failles que tu aurais mis pas mal de temps à trouver ?
On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les boites qu'on a paye pour ca j'entends), donc faut croire que non.
Avoir les sources donne la possibilite d'auditer, si personne le fait ou ceux qui le font n'en ont pas les capacites, ca sert pas a grand-chose par contre.
Ooouuhhhaaaaa , le code source de windows est piraté grâce (ou à cause <barré la mention inutile>) à une machine Linux ? Dans les locaux de Microsoft ? Peut-être qu'ils ont rien compris à la configuration ? en tous cas,IBM et Apple l'ont echappés belles , il avait eteints les Macs et OS/2.
Si le monsieur savait de quoi il parlait, il saurait que le code source a ete vole a une societe qui fait des portages Unix<->Windows, pas chez MS
Tu downloade le package sur Kazaa, tu regardes le contenu, marrant, il y a un fichier core dedans, et c'est fou ce qu'on peut trouver dans un fichier core...
Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.
Il y a une bonne partie du code, dont une partie du kernel.
La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
Va expliquer ca a Mozilla, ils font la meme chose.
Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :)
Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
Le reviewing de source par un expert sécurité c'est très efficace niveau découverte d'exploits. C'est là l'intérêt de la diffision des sources.
C'est vrai, le reviewing par un expert en securite c'est tres efficace.
C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code, plutot que compter sur monsieur tout le monde qui soit :
1) N'a pas les competences
2) N'a pas le temps
3) N'a pas l'envie
Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras. Ca en dit long sur le mythe de l'efficacite de l'open-source niveau securite au meme titre que la qualite de softs tels que sendmail, wu_ftpd, openssh, bind,...
les compagnies vont peut être se rendre compte que tourner un OS tel que Microsoft n'est pas une bonne idée. Je ne lance pas un FUD mais Valve Software l'a payé cher il y a 6 mois avec Half Life 2 partiellement recopié grâce a des stations Windows mises en backdoor ... http://hl2.ogaming.com/(...(...))
Remarque, le code source de Windows a ete vole grace a une station Linux hackee... si il faut en tirer la meme conclusion, on va tous finir sous MultideskOS
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 1.
Vous pouvez chercher des explications aussi longtemps que vous voudrez, la realite est qu'avec une bonne partie des sources de l'OS le plus vise de la planete dehors, personne n'a encore devoile de faille. Et dire que les sources de Windows ne sont pas d'interets aux gens cherchant des failles, c'est un gros gag.
[^] # Re: pbpg/msusa payé pour son FUD ?
Posté par pasBill pasGates . En réponse au journal Quelques chiffres sur DLFP. Évalué à 2.
C'est une possibilite, mais c'est pas la realite, j'etais sous Linux exclusivement pendant 2 ans, je ne l'utilise plus aujourd'hui comme mon OS principal, mais il est toujours la et est utilise regulierement.
Quand a faire de "l'exotisme", sachant que j'ai passe mes premiers mois en console uniquement car a l'epoque(1995) les cartes graphiques sous Linux c'etait pas gagne, que j'ai passe 2 ans exclusivement sous Linux alors que les GUI n'etaient pas encore ce qu'elle sont aujourd'hui, et que je connais techniquement ce systeme probablement mieux que nombre de gens ici, je doutes qu'on puisse appeler ca de l'exotisme.
Sans dire «Linux c'est parfait», j'espère que tu as fais quelques commentaires sans parler des failles et défauts de Linux ou comparaison avec MS, malheureusement pour moi, je les ai ratés.
Pas de chance
[^] # Re: gestion de la volumétrie, et confiance
Posté par pasBill pasGates . En réponse à la dépêche Mozdex, un moteur de recherche Open Source. Évalué à 2.
Le reseau sur lequel Google a ses clusters, c'est pas un reseau comme internet avec des gros temps de latence, des liens qui tombent de temps en temps, ...
C'est basse latence, haut debit et haute disponibilite, chose qu'il est impossible a faire sur l'internet en distribue
Il y a des problemes qui se pretent tres bien a etre distribues sur internet, genre SETI@Home et autres, car ils n'ont pas besoin de faible temps de latence ou de haute disponibilite du link, un moteur de recherche par contre, il est sense te filer une reponse de qualite a ta requete dans les 3 secondes qui suivent, c'est un tout autre probleme.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 1.
Publie ? Un lien ?
enfin sa montre bien les limites du modèle M$...
Ils essayent de se convaincre eux-même que leur modèle tiendra...
Ah bon ? Parce que si ils font de meme avec les softs open-source en ne reportant pas les problemes ca va etre mieux ?
On rira encore plus lorsque des pirates vont piquer le code de la longhorn sur les passoire qui servent de serveur de test chez M$...
Remarque, nous, nos source servers n'ont jamais connu le sort des serveurs de Debian, gnu.org, etc...
Mais il fallait bien que tu lances une petite connerie non fondee et non argumentee sur MS, c'etait inevitable, ton post aurait pris le risque de paraitre interessant sinon.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 0.
téléchargeant par P2P. Tu crois quand même pas que les gens vont se mettre
dans l'ilégalité pour corriger vos merdes et puis qu'ils vont vous donner leurs
coordonnées ensuite!!!
Si t'appelles machintruc@yahoo.com une coordonnee identifiable, c'est que t'es pas du meme monde que moi.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 2.
[^] # Re: pbpg/msusa payé pour son FUD ?
Posté par pasBill pasGates . En réponse au journal Quelques chiffres sur DLFP. Évalué à 3.
Tout le monde ?
Ah bon, pourtant moi je vois plein de gens qui font des remarques constructives ici.
Mais faut avouer que c'est quand même dommage que le premier posteur sur un site pro-linux soit un anti-linux primaire.
Si effectivement pour toi ne pas dire "Linux c'est parfait" c'est etre anti-linux primaire, alors on va pas s'entendre, c'est sur.
Maintenant, l'anti-linux primaire que je suis sense etre est probablement sous Linux depuis plus longtemps que 95% des blaireaux qui sortent des aneries sur MS ici, alors bon...
[^] # Re: pbpg/msusa payé pour son FUD ?
Posté par pasBill pasGates . En réponse au journal Quelques chiffres sur DLFP. Évalué à -1.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 2.
T'enleves tout ca, ca fond.
Les sources, je les ai sur ma machine, le package de Kazaa je l'ai vu, je sais ce qu'il contient.
[^] # Re: pbpg/msusa payé pour son FUD ?
Posté par pasBill pasGates . En réponse au journal Quelques chiffres sur DLFP. Évalué à 2.
[^] # Re: Code source Windows volé ?
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 2.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 3.
2) Il y a des parties importantes du kernel entre autres
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à -1.
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 2.
Le code etait utilise par MainSoft, une boite qui fait des portages Unix<->Windows, dans le package on pouvait trouver un core dump de vim, et des textes pondus par un gars de Mainsoft.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 5.
D'autre part, si tu lis la doc sur cette feature (cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vc(...) ) ils disent clairement que ca ne protege pas de tous les BO.
Bref, rien de nouveau
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 2.
On n'en a toujours pas recu une venant de gens ayant eu les sources(a part les boites qu'on a paye pour ca j'entends), donc faut croire que non.
Avoir les sources donne la possibilite d'auditer, si personne le fait ou ceux qui le font n'en ont pas les capacites, ca sert pas a grand-chose par contre.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 6.
Je te laisse imaginer l'effet si dans 3 jours 80% des routeurs du backbone tombent.
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 6.
Linux a des bon points pour lui, ces mythes n'en font pas partie.
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 8.
Si le monsieur savait de quoi il parlait, il saurait que le code source a ete vole a une societe qui fait des portages Unix<->Windows, pas chez MS
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 0.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 3.
Il y a une bonne partie du code, dont une partie du kernel.
La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...
Va expliquer ca a Mozilla, ils font la meme chose.
Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.
Compte le nombre de failles, pas l'impact. Regardes le nombre de failles jugees critiques sur WS03, le nombre est tres faible.
Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :)
Il y a une protection anti-stack overflow dans win2k3 ? Ah bon, je suis pas au courant. Dans visual studio, et ils disent qu'elle est pas parfaite, mais pas dans Win2k3
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à -1.
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 0.
Eh oui, j'en corriges meme certaines quand elles arrivent, c'est mon boulot je te rappelle.
Tu espère que les vilains méchants vont te prévenir s'ils trouvent quelque chose ? (se rappeler du cas InterBase http://linuxfr.org/2001/01/15/1904.html(...(...)) )
Les vraiment vilains mechants non, et ils feraient de meme avec des softs open-source, le 99% des gens oui.
Tu n'agiterais pas beaucoup les bras des fois ?
Certaines fois probablement, pas cette fois
[^] # Re: "security through obscurity" quand tu nous tiens
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à -2.
C'est vrai, le reviewing par un expert en securite c'est tres efficace.
C'est pour ca que Cisco et autres engagent des societes specialisees pour relire le code, plutot que compter sur monsieur tout le monde qui soit :
1) N'a pas les competences
2) N'a pas le temps
3) N'a pas l'envie
Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve, pourtant le code de Windows, c'est le genre de truc qui s'est downloade a tours de bras. Ca en dit long sur le mythe de l'efficacite de l'open-source niveau securite au meme titre que la qualite de softs tels que sendmail, wu_ftpd, openssh, bind,...
[^] # Re: Souvenez vous, c'était hier ...
Posté par pasBill pasGates . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 9.
Remarque, le code source de Windows a ete vole grace a une station Linux hackee... si il faut en tirer la meme conclusion, on va tous finir sous MultideskOS