pasBill pasGates a écrit 16349 commentaires

Ce qui ne veut rien dire.

Plein de societes ont des patentes sur OpenGL par exemple, ca n'empeche pas plusieurs implementations d'OpenGL d'exister.

Aussi, si le bug est peu grave, il sortira pas en hotfix. Genre le truc du \b\t\t\t ou qqe chose comme ca.

Je sais pas si c'est 205, faut voir comment ils ont compte, ce qu'ils ont compte, etc...

Donner un chiffre sans donner ce qu'on compte c'est clair que c'est pas tres malin.

Sinon, je ne suis pas persuade du tout qu'il y ait plus de bugs de securite chez MS que chez Linux. Certains composants(IIS par exemple) ont certainement plus de faille que leur homologue libre, mais l'inverse est aussi vrai pour d'autre composants.

Sinon, 3 mois c'est clairement trop long pour corriger un trou de securite, mais 6h c'est clairement trop court, c'est pas possible de debugger, creer un fix et faire des tests suffisament pousses en un laps de temps aussi court.

Ben c'est pas de chance, parce que le fix pour patcher la vulnerabilite utilisee par ce virus existe depuis Mars 2001 : http://www.microsoft.com/windows/ie/downloads/critical/q290108/defa(...)

(cf. le link en bas de http://www.rav.ro/virus/showvirus.php?v=124(...) pour info)

T'as le meme probleme que les admins qui patchent pas leur sendmail, bind, wu_ftpd, etc...
Alors bon, si l'admin fait pas son boulot, c'est pas le systeme qu'il faut critiquer...

Superbe, mais entre un bug et un bug de securite il y a une grosse difference.

Ces 663 bugs ne sont de loin pas tous des bugs de securite.

Donc ton calcul ne vaut pas un clou.

Tu verras, tu t'habitueras.

Moi ca fait plus d'un an que je vois les gens sortirent des aneries sur ce que mon employeur fait.

A mon avis, il vaut mieux abattre le facteur, parce que quand meme, il sait ou t'habites, et ce con la il serait capable de te foutres des pubs dans ta boite aux lettres !!!

Heureusement il y a des genies clairvoyants comme G.W Bush qui ont compris qu'il vaut mieux tirer d'abord et poser les questions apres...

des colons juifs en palestine, des japonais en chine,...

Oui, c'est exactement la meme chose.

Non, la tu melanges avec les americains.

Eh c'est rigolo, quand les gens ont su que MS faisait de meme de son cote(interdire aux employes de faire de l'open source), MS s'est fait insulter, comme quoi c'etait du FUD, etc... Finalement on dirait que tout le monde est d'accord sur le fait qu'il y a un risque...

C'est le meme type de scheduling que le noyau Linux(priority based round robin) avec des petites specificites propres. La grosse difference je pense est que le multithreading dans Win32 ne repose pas du tout sur les fonctions/structures Posix. Bon je vais m'arreter la sinon je suis parti pour pondre 3 pages :+)

Ingo va te l'expliquer lui-meme: http://lwn.net/Articles/3866/

L'ordonnanceur(=scheduler) c'est ce qui decide de quel thread va tourner sur quel processeur. C'est lui qui regarde quels sont les threads qui sont prets a tourner, quels sont ceux qui sont les plus prioritaires, quel CPU est libre,... et qui decide que c'est au tour de xbill plutot que StarOffice de tourner.

Une partie du budget de Suse part dans les salaires des developpeurs qui sont payes pour travailler sur les differents projets libres faisant partie de la distrib, donc oui, Suse participe financierement.

En le regardant autrement, on pourrait aussi dire que ces dernieres annees Suse aurait pu avoir un deficit bien moindre si il avait moins participe aux projets libres, car ca aurait fait des salaires en moins a payer, ils n'en ont rien fait pourtant, donc a mon avis les traiter de rapaces n'est pas tres correct.

iptable ne te sert a rien.

limiter les IP autorisees est extremement limitatif, tu ne peux rien faire depuis un compte dial-up(IP dynamique), ca ne tient pas compte du protocole utilise qui peut tout a fait permettre certaines actions par tout le monde, et quelques actions pour certains users privilegies, etc...

Quand au deuxieme point, c'est une question de design, sous Windows la regle est qu'il n'y a PAS de fenetre qui tourne en root, tout comme sous Unix la regle est qu'il n'y a pas de daemon root qui offre un remote shell a tout le monde.

Tu peux faire les 2, mais c'est a l'encontre des recommendations.

Ca n'a rien a voir avec une faille de l'OS.

Il y a des choix de design qui sont fait, et qui imposent des contraintes aux programmeurs.

Sous Unix comme sous Windows, si le programmeur fait le con avec un programme qui tourne en root, ca finit en trou de securite.

Ici c'est exactement un cas de cela.

Le trou beant il est la si le programmeur ne respecte pas les usages sur Windows, tout comme un programmeur qui ferait le con avec un daemon sous Unix.

Unix et Windows sont dans le meme bateau, simplement le type d'attaque possible est different selon l'OS.

Tu fais la meme chose que pour un daemon qui tourne sur des desktops Linux et qui a une faille.

Si il y a un patch, le departement IT l'appliques, si il n'y en a pas, ils changent de soft.

C'est vrai que ma reponse est idiote, dire qu'il ne faut pas installer des applications qui ont des failles est vraiment stupide.

Promis je ne recommencerais plus.

Bien, va faire la meme chose avec une distrib Linux:

Bonjour monsieur, j'aimerais une distribution Linux avec un serveur de mail qui ne contient pas de buffer overflow, pas de memory leaks, et qui ne leak pas de donnees confidentielles.

Le vendeur de la FNAC va tomber dans les pommes aussi, et si tu gueules au support que sendmail c'est de la merde, ils te riront au nez aussi(ou ils le changeront si ils sont un minimum intelligents).

C'est le meme probleme.

Et si tu veux un anti-virus correct, essayes eTrust de Computer Associates

La personne hostile met une page web avec un contenu qui profite d'une faille dans le browser de popol pour creer un remote shell depuis la machine de popol qui se connecte a l'exterieur.

Resultat, c'est une connection sortante, le firewall laisse passer, et la personne hostile a acces total a la machine de popol.

Le truc est que 99% des gens ne font pas d'applications graphiques qui ont besoin de tourner en tant que root, donc ils n'ont meme pas a se poser la question, ils n'ont pas ce probleme.

Les seuls cas sont les processus du type service/daemon car ceux-ci ont quelque fois besoin de tourner en root, et quand tu ecris ce genre de soft tu es sense avoir un minimum de connaissance sur l'OS, et tu es sense savoir que le service lui-meme ne doit pas afficher la GUI, mais ce doit etre une appli separee qui tourne dans le contexte de l'utilisateur, et qui communique avec le service a travers COM ou autre.

Bref, ce truc touche 1% des programmeurs, la gigantesque majorite des programmeurs font des softs qui ne tournent pas en root.

Toi tu trouves ca effarant car tu es habitue a une autre approche, mais il faut voir que Windows et Linux(enfin X Window) ne fonctionnent pas du tout de la meme maniere au niveau GUI, ce sont 2 architectures differentes et non comparables.

Il suffit donc d'avoir UNE application graphique qui tourne en root (sous Windows la plupart des applis ont une interface graphique) et qui soit épisodiquement dans cette file pour pouvoir passer root.

La méthode que décrit l'article s'appuie sur un anti-virus, mais on peut imaginer des tas d'autres applis.


C'est bien, t'as compris le principe.

Maintenant comprend la suite: de base dans l'OS, AUCUN process root n'a de GUI sur le desktop de l'user, et les recommendations de MS precisent tres clairement qu'il ne faut pas le faire pour des raisons de securite.

Sous Windows, les services(ceux de base) qui tournent en root n'affichent pas eux meme une GUI, elle est separee du service, la GUI tourne avec les droits de l'user et communique a travers COM avec le service, c'est ce que recommende MS et quand tu fais les choses correctement tout se passe bien.

Alors oui, tu peux imaginer plein d'applis, ca ne change rien au fait que la faille serait dans l'appli, pas dans l'OS.

De meme, je peux imaginer plein de daemons qui acceptent des commandes depuis le reseau et qui tournent en root, ce sont aussi des failles enormes, c'est pas la faute de l'OS pour autant.

C'est simple, tu installes un anti-virus qui est concu de maniere correcte, c'est a dire le service tourne en root, et la GUI est separee du service, tourne avec les droits de l'users et communique a travers COM ou autres, et il y en a des anti-virus concus correctement.

Mais moi non seulement je l'ai lu, mais je l'ai compris.

C'est quelque chose de connu depuis DES ANNEES, ce gars n'a rien invente, il n'a fait que mettre en pratique.

Mais si tu y tiens vraiment, expliques moi en quoi c'est une faille de l'OS, tu arriveras peut-etre a eclairer ma lanterne.

Mais je n'ai jamais dit que toutes les applis avaient besoin d'etre root...

Quelque unes en ont besoin, et si un jour tu en installes une qui en a besoin, et qu'elle a un trou de securite, ben tu te retrouves dans la meme situation qu'un service tournant en root sous Windows qui affiche une fenetre sur le desktop d'un user.

Dans les 2 cas c'est la faute du service/daemon, pas de l'OS.

Quand au fait qu'il serait vite "mis hors-la-loi", ca c'est ton imagination qui te le fait dire. wu_ftpd, sendmail et bind sont hyper repandus depuis des annees.

Finalement, je le repetes encore une fois... Il faut que root intervienne pour que cette attaque puisse avoir lieu, car par defaut dans l'OS, aucun service n'affiche de fenetre sur le desktop d'un user.
La seule possibilite est que l'administrateur installe un service qui est troue, donc oui il faut intervention de l'administrateur.
Si tu ne me crois pas, va installer un Win2000 et essaye, tu verras par toi-meme.