Ton tampon peut etre alloue dynamiquement ca change rien. Si tu te trompes sur la taille de l'allocation ou si le string que tu passes n'as pas de '0' a la fin(bon ok c'est plus un string a ce moment...) tu risques un heap overflow et c'est aussi dangereux qu'un stack overflow(bien qu'un peu moins facile a exploiter, mais tres loin d'etre infaisable).
La regle c'est de limiter la copie a la taille du buffer, et ca tu peux pas le faire avec un strcpy ou un strcat. strncpy et strncat resolvent en partie ce probleme bien qu'ils ne soient pas parfait a 100%, mais c'est deja une tres grosse avancee.
Faut bien comprendre qu'aucune fonction sans bug n'est dangereuse d'elle meme, une fonction est dangereuse a partir du moment ou le dev l'utilise mal en lui passant des parametres a la con.
strncpy et strncat sont plus surs car en utilisant la simple technique de:
- allouer un buffer de <size>+1
- mettre buffer[size] a 0 avant l'appel a strncpy
- specifier le nombre max de char a copier
On est sur de ne pas eclater le buffer.
Ces etapes sont elles aussi sujettes a erreur, mais elles sont beaucoup plus simples a effecteur et bien moin sujettes a erreur que faire un strcpy en priant pour qu'on ne se soit pas trompes en calculant la taille du buffer.
Si tu ne fais jamais d'erreur, tu ne te trompes jamais dans l'index de ta boucle, sur la taille de tes elements,... et bien tu n'as aucun buffer overflow dans ton code non plus.
Tout le probleme est que les gens font toujours des erreurs, et aucun papier quel qu'il soit ne changera ca, alors les GNU coding standards c'est bien joli, mais ca resoud rien du tout. ca elimine quelque cas mais c'est tout.
En passant, je suis tres loin de penser qu'il faudrait eliminer C/C++(bien au contraire), le jour ou d'autres langages auront le meme rapport temps de dev/performance/flexibilite n'est pas encore arrive.
Le pirate n'a jamais eu acces aux sources, il avait pose un trojan sur la machine d'un blaireau en lui envoyant un e-mail avec le genre d'attachements sur lequels il faut pas clicker si t'as un cerveau, mais ce gars n'avait pas acces aux sources.
L'avantage ici est que seuls les developpeurs ont acces aux sources, et d'habitude eux ils savent qu'il faut pas clicker sur kournikova.jpg.exe
La difference etant que Nullsoft ne garde pas les sources de ses softs sur un site web qui est bien plus facile a hacker qu'un serveur interne dans une entreprise auquel la plupart des employes n'ont pas acces.
Ca c'est un petit desavantage de l'open source pour ce genre de cas, acceder aux sources pour les modifier et enormement plus complique dans le cas d'un soft proprio car les sources sont souvent gardees bien a l'abri du fait que les auteurs ne veulent pas le partager.
odbc32.dll je vois pas quel probleme il pose, si un utilisateur le lance, odbc32.dll tournera avec les droits de l'utilisateur et ne pourra acceder que les choses auquel l'utilisateur peut acceder.
Ce que tu fais c'est empecher un user d'utiliser des fonctions deja ecrites qui de toute facon ne pourraient pas acceder a autre chose que ce que l'utilisateur a droit de toute facon.
J'ai l'impression que ce que tu fais est equivalent a :
Tu as une lib qui permet de lire des donnees du fichier de passwords, qui lui est limite en lecture a Administrator.
Tu essayes d'empecher les utilisateurs d'utiliser cette lib, alors que c'est totalement inutile, la lib tourne avec les droits de l'utilisateur, elle ne pourra de toute facon pas lire le fichier, et de toute facon rien n'empeche les utilisateurs d'ecrire eux meme un equivalent de la lib.
Ben c'est là qu'il y a problème, déjà je veux un utilisateur nobody et pas trois ca me simplifie grandement la vie. Ensuite j'aimerais bien savoir comment ils peuvent avoir par défaut les droits qui m'interressent ? de plus si je me souviens bien tes utilisateurs appartiennent au groupe "system" qui a des droits complets sur a peu près tout.
Ben ces utilisateurs ont chacun des limitations qui leur sont particulieres, si aucun de ceux la ne te convient, rien ne t'interdit de creer le tien. Et ces utilisateurs(a part LocalSystem) ont des droits tres restreints, NetworkService a des droits tres limites sur la machine locale, LocalService a des droits tres limites sur les droits reseau.
cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dl(...) pour plus d'info
Pour ce qui est d'avoir des users sans le droit de se logger localement, et autres limitations:
administrative tools -> local security policy -> local policies -> user rights assignments
Tu peux interdire a un user de se logger en local, en tant que service,etc...
Finalement pour ce qui est du probleme de bind, tu as un filtre IP en standard sur Windows, c'est dans les local security policies aussi(administrative tools -> local security policy -> IP security policies on local computer), et tu peux filtrer comme tu en as envie, sur les type de protocole, les addresses IP, les ports, tout ca en combinaison et avec des regexp(pas depuis la GUI cependant).
Sinon, effectivement tu ne peux pas mapper une share sur une autre machine, et partager le drive sur lequel est mappee cette partition.
Quelle difference entre les droits sur Unix et Windows 2000 ? Vas-y, explique moi ca...
Pourquoi tu voudrais changer les permissions des DLL dans \winnt\system32 ? Tu t'amuses a changer les permissions dans \lib et \usr\lib aussi ? Quelle difference entre les deux ?
Sous Windows2000, oui un utilisateur peut n'appartenir a aucun groupe, il suffit de ne le mettre dans aucun groupe, pas tres complique...
Tu veux un user nobody ? T'as qu'a choisir car il y en a TROIS par defaut sur Windows 2000: LocalService, LocalSystem et NetworkService, qui ont chacun des droits differents selon ce dont tu as besoin
Si tu veux faire demarrer un service sous un user particulier: services.msc -> click sur le service que tu veux -> Log On, pas tres dur...
Quelle difference y a t'il entre installer un soft sur OpenBSD et Windows ? Quel probleme de securite ca cree sur Windows et pas sur OpenBSD ?
Donne moi donc des arguments techniques la-dessus.
Ton prob NFS je t'avoues que j'ai pas tout compris, mais si tu veux rendre ta share "read-only"(c'est ce que j'ai compris), click droit -> sharing -> permissions et tu chosis read-only, ca m'a pas l'air tres complexe si c'est bien ca que tu veux.
Ton prob d'un server qui "bind" sur une interface ou l'autre, ben sur Unix et sur Windows, ca depend du daemon, pas du systeme, ca n'a ABSOLUMENT rien a voir avec le design du systeme. Si je t'ecris un daemon Unix qui te laisse pas le choix du bind, t'es dans la merde, rien a voir avec le systeme.
IIS, SMTP et DNS permettent de faire ca d'un click droit sur leur entree dans la MMC par exemple, SNMP depuis son entree dans services.msc,...
Bref, faudrait apprendre a utiliser Windows 2000 avant d'affirmer ce que tu affirmes.
Quelles informations sont divulgees a Microsoft par Windows ????
Qu'est ce que tu appelles un "vidage de memoire" ?
Et c'est quoi tes plantages de kernel ? quel type de bugcheck ? Si c'est un probleme que tu peux reproduire et qui n'a pas deja ete fixe dans un patch/service pack, je serais ravi d'avoir des infos dessus --> e-mail.
Est-ce que Stallman devrait payer si emacs crash alors que tu n'as pas sauve ton fichier de 10'000 lignes de code que tu as mis 3 semaines a pondre ?
Est-ce que l'auteur de sendmail devrait payer pour chaque crash/intrusion de sendmail ?
Si un champ electrique fait que un bit flip dans ton systeme et ton appli crash, qui va prouver que le bug est du a l'appli, ou a l'OS, ou au hardware ou simplement a ce champ electrique ? Qui va perdre un temps enorme a le faire ?
...
La licence de MS est la meme que toutes les autres licences software de la planete, y compris la licence GPL, il serait impossible de vivre du software sans cela, et le logiciel libre/open-source en prendrait un sacre coup aussi.
Alors bon, si tu veux que les auteurs de softs aient a repondre du comportement de leurs softs, va-y fait passer une loi, attend toi a un cataclysme en retour, et pas que pour les auteurs de logiciels proprietaires.
Ben je comprends bien que ca fasse chier certains, c'est pas toujours pratique, mais ca fait partie des inconvenients et avantages de chaque systeme, ensuite faut peser ces 2 cotes et choisir ce qui va le mieux.
Dans certains cas c'est trop genant, dans d'autres c'est compense par d'autres avantages.
C'est surement pas la solution 100% parfaite je te l'accorde.
Ils vont dire quoi ? que contrairement a son predecesseur, la plupart des services sont non demarres par defaut.
C'est vrai ? oui
C'est mieux ? oui
C'est un avantage par rapport a la version precedente, donc ils l'utilisent dans leur marketing, rien de plus normal.
Si ils sortent que c'est une nouveaute mondiale et que personne d'autre le fait oui ca serait un pas de trop, mais ca n'est pas encore fait.
Sinon, la modularite de Linux n'a rien a voir ici, nombre de distrib Linux ont un tas de services demarres par defaut, Linux n'est en rien mieux loti que Windows, car selon quelle distrib on regarde, c'est pas franchement mieux.
Ben dans 99% des cas, les equipes de traduction touchent pas le patch, les ressources(texte) sont separees du binaire, et quand le patch est cree on ne fait que remplacer ces ressources dans le binaire anglais pour avoir le binaire allemand, japonais,...
Simplement il faut que le patch anglais soit pret avant qu'on puisse faire cette etape --> voila pourquoi le patch anglais sort avant les autres.
Finalement, si pour une raison ou une autre il y a du texte qui change/est ajoute, il faut le traduire dans toutes les langues, et la ben ca fait perdre du temps, mais c'est rare.
Et une connerie de plus, ca fera jamais que la 5eme dans cette news....
On continue a sortir des patchs pour Windows NT4, qui est apparu en 1996, il y a de cela maintenant 6 ans. On vient de sortir un security roll-up(mini service-pack) pour Windows NT4 TS.
Ca vous ecorcherait la gueule de verifier ce que vous dites avant de balancer une critique a la con sur MS ?
Non seulement ca eviterait que je m'enerves pour des conneries, mais en plus ca rendrait le debat plus interessant, et ca eviterait de faire passer la majorite des gens ici pour des fanatiques anti-MS qui hurlent sur tout et rien des que le mot MS est dedans, car franchement c'est l'impression que ca donne.
Critiquer avec des vrais arguments c'est interessant et utile.
Critiquer sans aucun argument et en utilisant des contre-verites, ca decredibilise.
Quand je lis des conneries pareilles ma courtoisie disparait.
Ce que tu nous sors sur OpenBSD n'a aucun rapport avec le probleme ci-present. On parle de 2 OS qui sont configures de base de la meme maniere, et un OS qui est encense pour cela, et l'autre qui est vertement critique simplement car il a le malheur d'etre produit par une societe detestee par nombre de gens ici, et je trouves ce mode de pensee profondemment debile.
Quand a la licence de Windows, si elle te plait pas, ben celle de HP-UX, celle d'AIX, celle de Mac OS X, celle de IRIX, ... te plaira pas non plus, si ces clauses frisent la malhonnetete, alors toute l'industrie de l'informatique est malhonnete, car cette licence est quasiment identique a celles utilisees par toutes les autres boites informatiques.
Ma comparaison je la fais sur un point technique uniquement, je compares pas les 2 OS, simplement le fait que le meme point technique est applaudi dans un OS, et critique dans un autre.
Windows fonctionne selon le systeme "1 utilisateur = 1 licence".
Si t'as 20 personnes connectees a travers TS sur un serveur, il te faut les 20 licences pour utiliser Windows, tu paies pas pour utiliser TS, tu paies pour que les gens puissent utiliser Windows.
Si MS ne faisait pas ca, les boites acheteraient 1 enorme serveur, mettraient Windows avec TS dessus et tout le monde utiliserait ce server en n'ayant qu'une licence.
Quand aux autres exemples, ce sont tous des services livres avec l'OS, et tu ne paies pas de supplement pour pouvoir les utiliser(enfin le prix est compris dans la licence Windows evidemment).
MS n'a jamais dit que c'etait eux qui l'avait invente, que c'etait une nouveaute, etc...
Et soi-dit en passant, les modules livres et non installes par defaut ca existe depuis des annees dans Windows, NT4 avait deja ca(SNMP, RAS, ... etaient optionnels et pas par defaut), et les versions precedentes probablement aussi, MS a pas attendu 2002 pour avoir ca.
Le serveur TSE n'est pas payant du tout, c'est les licences client qui sont payantes, tu payes rien du tout pour avoir le serveur, il est livre d'origine mais pas installe par defaut et quand tu payes c'est pour avoir la possibilite de connecter plusieurs personnes en meme temps sur le systeme, pas pour avoir TSE et l'utiliser toi, avoir 10 personnes loggees en meme temps coute plus cher que 5, etc... Donc selon tes besoins t'achetes les licences client necessaire.
Tout comme tu payes rien pour le service SNMP qui est pas installe par defaut, comme le serveur SMTP, comme les serveurs echo,time,... qui sont aussi livres mais pas installes par defaut, etc...
Donc non je vais pas t'avouer que de nombreux modules seront payant car ca sera pas le cas, tu n'en sais *STRICTEMENT* rien, tu ne fais que faire des suppositions selon tes prejuges sur MS et tu les balances comme des verites, et je t'avoues que c'est un peu gonflant.
De manière générale, ils sont incapable de sortir un patch de sécurité dans une autre langue que l'anglais en moins de 6 mois !!
Ca c'est une belle connerie aussi. Les patchs pour Windows sortent normalement soit le meme jour soit 2-3 jours apres dans l'enorme majorite des cas depuis maintenant de tres nombreux mois.
Trouves moi donc dans les 6 derniers mois combien de patchs de securite pour Windows sont sortis avec plus de 3 jours de retard par rapport a la version anglaise, j'ai hate de voir tes resultats.
Au depart c'etait prevu de faire ca pendant un mois uniquement, et ca a ete rallonge a 2 car plusieurs teams n'avait pas termine a la fin Fevrier.
Tout le developpement de l'OS a ete stoppe jusqu'a ce que l'audit du code ait ete termine, et oui ca a cree un retard sur le calendrier de .NET Server.
Quand a publier des mises a jour tous les deux mois, ben ce qui est publie c'est des security roll-up/service pack/hotfix, et ca ca n'a evidemment pas ete stoppe, le team qui s'occupe de ca n'est pas le team qui developpe les futurs OS, on est lie a eux mais on est separe dans l'organisation, nous on a ralenti bon nombre de choses pour les aider durant cette periode mais bien evidemment on n'a pas arrete de sortir des hotfix et autres.
Bon la je vais etre franc, car dire des conneries sans meme prendre la peine de lire ce qui est ecrit me gonfle.
Tu es soit:
- un idiot
- de tres mauvaise foi
- tu comprends pas le francais
Ou est ce que MS a dit qu'ils ne seraient pas responsable si les gens lancent un service non installe par defaut ????
OpenBSD fait cela depuis des annees, et les gens louent cette action car ca bloque un nombre de trous potentiels pour bon nombre de gens, MS fait *EXACTEMENT* la meme chose et hop, ca devient une arnaque pour eviter ses responsabilites. C'est vraiment du delire.
Si tu arrives a me trouver ou est-ce que MS parle ou meme suggere qu'il ne serait pas responsable pour un trou de securite dans un module non installe par defaut, je te paie une Ferrari, si par contre tu ne trouves pas, je te prierais a l'avenir d'utiliser ce truc gluant qui se trouve dans ta boite craniene et que tu lises l'article et reflechisse avant de balancer une connerie sur MS sans aucun fondement.
Si je suis enerve ? oui, ca me gonfle ces attaques a la con qui reposent sur rien du tout
[^] # Re: Encore un WU-gruyere !
Posté par pasBill pasGates . En réponse à la dépêche wu-imapd. Évalué à 6.
Ton tampon peut etre alloue dynamiquement ca change rien. Si tu te trompes sur la taille de l'allocation ou si le string que tu passes n'as pas de '0' a la fin(bon ok c'est plus un string a ce moment...) tu risques un heap overflow et c'est aussi dangereux qu'un stack overflow(bien qu'un peu moins facile a exploiter, mais tres loin d'etre infaisable).
La regle c'est de limiter la copie a la taille du buffer, et ca tu peux pas le faire avec un strcpy ou un strcat. strncpy et strncat resolvent en partie ce probleme bien qu'ils ne soient pas parfait a 100%, mais c'est deja une tres grosse avancee.
Si tu as:
char *monbuffer=(char*)malloc(SIZE+1);
//test alloc success
strcpy(monbuffer,thestring);
- T'as un BO si thestring n'est pas null terminated
- T'as un BO si tu t'es gourre de taille pour SIZE
si tu utilises
#define MyStrnCpy(X,Y,Size) X[Size]=0; \
strncpy(X,Y,Size);
MyStrnCpy(monbuffer, thestring, SIZE);
Tu elimines ces 2 risques.
Faut bien comprendre qu'aucune fonction sans bug n'est dangereuse d'elle meme, une fonction est dangereuse a partir du moment ou le dev l'utilise mal en lui passant des parametres a la con.
strncpy et strncat sont plus surs car en utilisant la simple technique de:
- allouer un buffer de <size>+1
- mettre buffer[size] a 0 avant l'appel a strncpy
- specifier le nombre max de char a copier
On est sur de ne pas eclater le buffer.
Ces etapes sont elles aussi sujettes a erreur, mais elles sont beaucoup plus simples a effecteur et bien moin sujettes a erreur que faire un strcpy en priant pour qu'on ne se soit pas trompes en calculant la taille du buffer.
[^] # Re: Dommage, je n'ai plus de [-]
Posté par pasBill pasGates . En réponse à la dépêche wu-imapd. Évalué à 1.
Si tu ne fais jamais d'erreur, tu ne te trompes jamais dans l'index de ta boucle, sur la taille de tes elements,... et bien tu n'as aucun buffer overflow dans ton code non plus.
Tout le probleme est que les gens font toujours des erreurs, et aucun papier quel qu'il soit ne changera ca, alors les GNU coding standards c'est bien joli, mais ca resoud rien du tout. ca elimine quelque cas mais c'est tout.
En passant, je suis tres loin de penser qu'il faudrait eliminer C/C++(bien au contraire), le jour ou d'autres langages auront le meme rapport temps de dev/performance/flexibilite n'est pas encore arrive.
[^] # Re: Vente à perte/ DGCCRF/ action à faire
Posté par pasBill pasGates . En réponse à la dépêche Xbox... sous linux. Évalué à 1.
Quand a ton truc sur les licences OEM, je vois pas trop ce que ca a a voir avec la xbox mais bon...
[^] # Re: OpenSSH et cygwin
Posté par pasBill pasGates . En réponse à la dépêche Nouvelle version d'OpenSSH. Évalué à -2.
Eclaires moi donc...
[^] # Re: ça fout les boules ¬_¬ ...
Posté par pasBill pasGates . En réponse à la dépêche Backdoor dans irssi. Évalué à 0.
L'avantage ici est que seuls les developpeurs ont acces aux sources, et d'habitude eux ils savent qu'il faut pas clicker sur kournikova.jpg.exe
[^] # Re: ça fout les boules ¬_¬ ...
Posté par pasBill pasGates . En réponse à la dépêche Backdoor dans irssi. Évalué à 4.
Ca c'est un petit desavantage de l'open source pour ce genre de cas, acceder aux sources pour les modifier et enormement plus complique dans le cas d'un soft proprio car les sources sont souvent gardees bien a l'abri du fait que les auteurs ne veulent pas le partager.
[^] # Re: OpenBSD et Microsoft pareil sauf que....
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -3.
Ce que tu fais c'est empecher un user d'utiliser des fonctions deja ecrites qui de toute facon ne pourraient pas acceder a autre chose que ce que l'utilisateur a droit de toute facon.
J'ai l'impression que ce que tu fais est equivalent a :
Tu as une lib qui permet de lire des donnees du fichier de passwords, qui lui est limite en lecture a Administrator.
Tu essayes d'empecher les utilisateurs d'utiliser cette lib, alors que c'est totalement inutile, la lib tourne avec les droits de l'utilisateur, elle ne pourra de toute facon pas lire le fichier, et de toute facon rien n'empeche les utilisateurs d'ecrire eux meme un equivalent de la lib.
Ben c'est là qu'il y a problème, déjà je veux un utilisateur nobody et pas trois ca me simplifie grandement la vie. Ensuite j'aimerais bien savoir comment ils peuvent avoir par défaut les droits qui m'interressent ? de plus si je me souviens bien tes utilisateurs appartiennent au groupe "system" qui a des droits complets sur a peu près tout.
Ben ces utilisateurs ont chacun des limitations qui leur sont particulieres, si aucun de ceux la ne te convient, rien ne t'interdit de creer le tien. Et ces utilisateurs(a part LocalSystem) ont des droits tres restreints, NetworkService a des droits tres limites sur la machine locale, LocalService a des droits tres limites sur les droits reseau.
cf. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dl(...) pour plus d'info
Pour ce qui est d'avoir des users sans le droit de se logger localement, et autres limitations:
administrative tools -> local security policy -> local policies -> user rights assignments
Tu peux interdire a un user de se logger en local, en tant que service,etc...
Finalement pour ce qui est du probleme de bind, tu as un filtre IP en standard sur Windows, c'est dans les local security policies aussi(administrative tools -> local security policy -> IP security policies on local computer), et tu peux filtrer comme tu en as envie, sur les type de protocole, les addresses IP, les ports, tout ca en combinaison et avec des regexp(pas depuis la GUI cependant).
Sinon, effectivement tu ne peux pas mapper une share sur une autre machine, et partager le drive sur lequel est mappee cette partition.
[^] # Re: OpenBSD et Microsoft pareil sauf que....
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -5.
Pourquoi tu voudrais changer les permissions des DLL dans \winnt\system32 ? Tu t'amuses a changer les permissions dans \lib et \usr\lib aussi ? Quelle difference entre les deux ?
Sous Windows2000, oui un utilisateur peut n'appartenir a aucun groupe, il suffit de ne le mettre dans aucun groupe, pas tres complique...
Tu veux un user nobody ? T'as qu'a choisir car il y en a TROIS par defaut sur Windows 2000: LocalService, LocalSystem et NetworkService, qui ont chacun des droits differents selon ce dont tu as besoin
Si tu veux faire demarrer un service sous un user particulier: services.msc -> click sur le service que tu veux -> Log On, pas tres dur...
Quelle difference y a t'il entre installer un soft sur OpenBSD et Windows ? Quel probleme de securite ca cree sur Windows et pas sur OpenBSD ?
Donne moi donc des arguments techniques la-dessus.
Ton prob NFS je t'avoues que j'ai pas tout compris, mais si tu veux rendre ta share "read-only"(c'est ce que j'ai compris), click droit -> sharing -> permissions et tu chosis read-only, ca m'a pas l'air tres complexe si c'est bien ca que tu veux.
Ton prob d'un server qui "bind" sur une interface ou l'autre, ben sur Unix et sur Windows, ca depend du daemon, pas du systeme, ca n'a ABSOLUMENT rien a voir avec le design du systeme. Si je t'ecris un daemon Unix qui te laisse pas le choix du bind, t'es dans la merde, rien a voir avec le systeme.
IIS, SMTP et DNS permettent de faire ca d'un click droit sur leur entree dans la MMC par exemple, SNMP depuis son entree dans services.msc,...
Bref, faudrait apprendre a utiliser Windows 2000 avant d'affirmer ce que tu affirmes.
[^] # Re: De Schneider à Fabiensk
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -4.
Qu'est ce que tu appelles un "vidage de memoire" ?
Et c'est quoi tes plantages de kernel ? quel type de bugcheck ? Si c'est un probleme que tu peux reproduire et qui n'a pas deja ete fixe dans un patch/service pack, je serais ravi d'avoir des infos dessus --> e-mail.
[^] # Re: Foutage de gueule (la notre en l'occurence)
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -3.
Trouves moi donc les patchs de securite de Windows qui dans les 6 derniers mois ont eu 1 semaine ou plus de retard par rapport a la version anglaise.
Montre moi le pourcentage, histoire qu'on parle de faits plutot que de blabla.
[^] # Re: Monarchie absolue ?
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -4.
Est-ce que l'auteur de sendmail devrait payer pour chaque crash/intrusion de sendmail ?
Si un champ electrique fait que un bit flip dans ton systeme et ton appli crash, qui va prouver que le bug est du a l'appli, ou a l'OS, ou au hardware ou simplement a ce champ electrique ? Qui va perdre un temps enorme a le faire ?
...
La licence de MS est la meme que toutes les autres licences software de la planete, y compris la licence GPL, il serait impossible de vivre du software sans cela, et le logiciel libre/open-source en prendrait un sacre coup aussi.
Alors bon, si tu veux que les auteurs de softs aient a repondre du comportement de leurs softs, va-y fait passer une loi, attend toi a un cataclysme en retour, et pas que pour les auteurs de logiciels proprietaires.
[^] # Re: Heu ???
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 1.
Dans certains cas c'est trop genant, dans d'autres c'est compense par d'autres avantages.
C'est surement pas la solution 100% parfaite je te l'accorde.
[^] # Re: Heu ???
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -2.
Ils vont dire quoi ? que contrairement a son predecesseur, la plupart des services sont non demarres par defaut.
C'est vrai ? oui
C'est mieux ? oui
C'est un avantage par rapport a la version precedente, donc ils l'utilisent dans leur marketing, rien de plus normal.
Si ils sortent que c'est une nouveaute mondiale et que personne d'autre le fait oui ca serait un pas de trop, mais ca n'est pas encore fait.
Sinon, la modularite de Linux n'a rien a voir ici, nombre de distrib Linux ont un tas de services demarres par defaut, Linux n'est en rien mieux loti que Windows, car selon quelle distrib on regarde, c'est pas franchement mieux.
[^] # Re: Foutage de gueule (la notre en l'occurence)
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -3.
Consequence: avant de creer les autres patchs, il faut que le patch anglais soit pret.
Avantage: Tous les patchs ont le meme binaire a l'interieur, et on est sur que le fix est dedans.
Futur: wait and see...
[^] # Re: Foutage de gueule (la notre en l'occurence)
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -2.
Simplement il faut que le patch anglais soit pret avant qu'on puisse faire cette etape --> voila pourquoi le patch anglais sort avant les autres.
Finalement, si pour une raison ou une autre il y a du texte qui change/est ajoute, il faut le traduire dans toutes les langues, et la ben ca fait perdre du temps, mais c'est rare.
[^] # Re: Et les Patchs pour les anciennes versions?
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 3.
On continue a sortir des patchs pour Windows NT4, qui est apparu en 1996, il y a de cela maintenant 6 ans. On vient de sortir un security roll-up(mini service-pack) pour Windows NT4 TS.
Ca vous ecorcherait la gueule de verifier ce que vous dites avant de balancer une critique a la con sur MS ?
Non seulement ca eviterait que je m'enerves pour des conneries, mais en plus ca rendrait le debat plus interessant, et ca eviterait de faire passer la majorite des gens ici pour des fanatiques anti-MS qui hurlent sur tout et rien des que le mot MS est dedans, car franchement c'est l'impression que ca donne.
Critiquer avec des vrais arguments c'est interessant et utile.
Critiquer sans aucun argument et en utilisant des contre-verites, ca decredibilise.
[^] # Re: Monarchie absolue ?
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -5.
Ce que tu nous sors sur OpenBSD n'a aucun rapport avec le probleme ci-present. On parle de 2 OS qui sont configures de base de la meme maniere, et un OS qui est encense pour cela, et l'autre qui est vertement critique simplement car il a le malheur d'etre produit par une societe detestee par nombre de gens ici, et je trouves ce mode de pensee profondemment debile.
Quand a la licence de Windows, si elle te plait pas, ben celle de HP-UX, celle d'AIX, celle de Mac OS X, celle de IRIX, ... te plaira pas non plus, si ces clauses frisent la malhonnetete, alors toute l'industrie de l'informatique est malhonnete, car cette licence est quasiment identique a celles utilisees par toutes les autres boites informatiques.
Ma comparaison je la fais sur un point technique uniquement, je compares pas les 2 OS, simplement le fait que le meme point technique est applaudi dans un OS, et critique dans un autre.
[^] # Re: Heu ???
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 7.
Si t'as 20 personnes connectees a travers TS sur un serveur, il te faut les 20 licences pour utiliser Windows, tu paies pas pour utiliser TS, tu paies pour que les gens puissent utiliser Windows.
Si MS ne faisait pas ca, les boites acheteraient 1 enorme serveur, mettraient Windows avec TS dessus et tout le monde utiliserait ce server en n'ayant qu'une licence.
Quand aux autres exemples, ce sont tous des services livres avec l'OS, et tu ne paies pas de supplement pour pouvoir les utiliser(enfin le prix est compris dans la licence Windows evidemment).
[^] # Re: Heu ???
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -1.
MS n'a jamais dit que c'etait eux qui l'avait invente, que c'etait une nouveaute, etc...
Et soi-dit en passant, les modules livres et non installes par defaut ca existe depuis des annees dans Windows, NT4 avait deja ca(SNMP, RAS, ... etaient optionnels et pas par defaut), et les versions precedentes probablement aussi, MS a pas attendu 2002 pour avoir ca.
[^] # Re: Heu ???
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -3.
Le serveur TSE n'est pas payant du tout, c'est les licences client qui sont payantes, tu payes rien du tout pour avoir le serveur, il est livre d'origine mais pas installe par defaut et quand tu payes c'est pour avoir la possibilite de connecter plusieurs personnes en meme temps sur le systeme, pas pour avoir TSE et l'utiliser toi, avoir 10 personnes loggees en meme temps coute plus cher que 5, etc... Donc selon tes besoins t'achetes les licences client necessaire.
Tout comme tu payes rien pour le service SNMP qui est pas installe par defaut, comme le serveur SMTP, comme les serveurs echo,time,... qui sont aussi livres mais pas installes par defaut, etc...
Donc non je vais pas t'avouer que de nombreux modules seront payant car ca sera pas le cas, tu n'en sais *STRICTEMENT* rien, tu ne fais que faire des suppositions selon tes prejuges sur MS et tu les balances comme des verites, et je t'avoues que c'est un peu gonflant.
[^] # Re: Foutage de gueule (la notre en l'occurence)
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -7.
Ca c'est une belle connerie aussi. Les patchs pour Windows sortent normalement soit le meme jour soit 2-3 jours apres dans l'enorme majorite des cas depuis maintenant de tres nombreux mois.
Trouves moi donc dans les 6 derniers mois combien de patchs de securite pour Windows sont sortis avec plus de 3 jours de retard par rapport a la version anglaise, j'ai hate de voir tes resultats.
[^] # Re: Adieu la course aux armements ?
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 9.
Au depart c'etait prevu de faire ca pendant un mois uniquement, et ca a ete rallonge a 2 car plusieurs teams n'avait pas termine a la fin Fevrier.
Tout le developpement de l'OS a ete stoppe jusqu'a ce que l'audit du code ait ete termine, et oui ca a cree un retard sur le calendrier de .NET Server.
Quand a publier des mises a jour tous les deux mois, ben ce qui est publie c'est des security roll-up/service pack/hotfix, et ca ca n'a evidemment pas ete stoppe, le team qui s'occupe de ca n'est pas le team qui developpe les futurs OS, on est lie a eux mais on est separe dans l'organisation, nous on a ralenti bon nombre de choses pour les aider durant cette periode mais bien evidemment on n'a pas arrete de sortir des hotfix et autres.
[^] # Re: Monarchie absolue ?
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à 10.
Tu es soit:
- un idiot
- de tres mauvaise foi
- tu comprends pas le francais
Ou est ce que MS a dit qu'ils ne seraient pas responsable si les gens lancent un service non installe par defaut ????
OpenBSD fait cela depuis des annees, et les gens louent cette action car ca bloque un nombre de trous potentiels pour bon nombre de gens, MS fait *EXACTEMENT* la meme chose et hop, ca devient une arnaque pour eviter ses responsabilites. C'est vraiment du delire.
Si tu arrives a me trouver ou est-ce que MS parle ou meme suggere qu'il ne serait pas responsable pour un trou de securite dans un module non installe par defaut, je te paie une Ferrari, si par contre tu ne trouves pas, je te prierais a l'avenir d'utiliser ce truc gluant qui se trouve dans ta boite craniene et que tu lises l'article et reflechisse avant de balancer une connerie sur MS sans aucun fondement.
Si je suis enerve ? oui, ca me gonfle ces attaques a la con qui reposent sur rien du tout
[^] # Re: Heu ???
Posté par pasBill pasGates . En réponse à la dépêche "la prochaine version de notre serveur (.Net) sera sûre par défaut". Évalué à -2.
Relis les mots: "installation par defaut"
Pense au concept suivant:
- modules livres avec le systeme mais non installes par defaut
Ensuite tu reflechis quelques secondes ou minutes selon tes capacites, et tu comprends que t'as dit une grosse connerie.
[^] # Re: Reponses aux detracteurs d'Opera
Posté par pasBill pasGates . En réponse à la dépêche Sortie d'Opera 6.0 pour GNU/Linux. Évalué à -1.