Ben exemple completement stupide alors. Tu prends une distribution non supportée que plus personne utilise, forcement ca fonctionne pas. Tout comme ca fonctionne pas non plus sous OS/2 et Win95.
LOL, j'ai pris une distrib de 2002 parce que c'est du meme age a peu pres que XP.
Mais fais seulement, prends une distrib de 2007, ca changera pas grand chose.
Non, tu prends une distribution supportée, tu telechages firefox sur le site de mozilla, tu install et ca fonctionne. Par ce que le tarball fournis par Mozilla inclu toutes les dependances nécessaires (comme pour la version Windows).
Le tarball , bref pas d'integration du tout avec le systeme, super.
La realite est la, inutile de la masquer, vouloir installer des softs, ou versions de softs, qui ne sont pas dans le depot pour la version de la distrib qu'on a, c'est une enorme galere.
Ca s'appelle les cotes Est et Ouest des USA (je serais pas surpris que le milieu soit du meme type en passant), et j'ai pas encore vu de Bisounours en 13 ans, mais peut-etre que je n'ai pas regarde au bon endroit…
Certainement. Ceci dit des techniques simples comme un mot de passe sur le BIOS, ou le chiffrement des partitions permettaient d'arriver à atteindre bon nombre de ces objectifs… de manière bien plus efficace et sûre qu'en confiant aux pieds nickelés du développement logiciel(les constructeurs de matériel).
C'est de la securite dont on parle ici. Fermer une porte en laissant la fenetre ouverte, ca revient a laisser la porte ouverte. Chiffrer les partitions ca ne resoud rien quand t'as un malware dans le BIOS. Mettre un mot de passe sur le BIOS non plus.
Un TPM avec une signature du code est essentiel pour avoir un systeme a peu pres sur : sans signature du code, et sans lieu inaccessible pour stocker ces signatures, tu ne peux pas savoir si ce qui tourne est autorise ou pas, tout simplement.
Ensuite, des problemes dans l'implementation de ce systeme par diverse parties oui certainement, t'auras toujours des gars incapable de suivre une recette, mais le design est sur.
Ton exemple est censé montrer quoi ? Que certains logiciels fonctionnent sur certains OS mais pas d'autres ?
Non, simplement que le probleme des dependances sous Linux est un enorme probleme.
Pour faire tourner le dernier Firefox, il te faudra updater 4235 paquets sur ta machine. Sous Windows il te suffira d'installer le package, qui oh miracle, ne contient pas 4235 librairies.
Ce qu'il ne voit pas, et peut-être toi non plus, c'est que toute autre boite dans la position de MS ferait exactement la même chose.
Au contraire, c'est exactement ce que je disais a l'epoque : MS est un requin parmis d'autres.
Si les sanctions ne sont pas à la hauteur, la boite enfreindra les règles à de multiples reprises. Si les sanctions sont absentes, aucune boite ne tiendra compte des règles.
Tout a fait
Tout le monde peut dire "nan mais c'est pas vrai, y'a des boites qui respectent les règles, tout ça".
C'et un peu plus complique que ca quand meme. L'industrie software a pour elle qu'il est super simple de trouver un autre job si ton job te plait pas. Partant de la, les ingenieurs sont devenus 'difficiles' : avoir un job sur et un bon salaire n'est plus suffisant pour garder les employes. Il faut les chouchouter de toutes les manieres, leur faire sentir qu'ils font qqe chose de bien, etc…
Un manager qui debarque chez ses employes et leur dit : "Allez, faites ca, je m'en fous si vous trouvez ca degueulasse", va se retrouver avec la moitie de son equipe qui part chez la concurrence et probablement qqe posts sur twitter/FB qui vont donner une sale image de la boite.
Je peux tout a fait imaginer que les negotiations de contrat entre boites sont elles des joutes au couteau, mais au niveau du developpement des softs c'est un autre monde.
C'est cette dernière affirmation qui me choque. Comment peut-on affirmer péremptoirement une telle contre vérité ?
Parce que ce n'est pas une contre verite, et que contrairement a certains qui aiment s'imaginer le pire quand il s'agit de MS, j'ai vu les choses se faire.
On parle bien de cette firme condamnée à de multiple reprise pour sa vision monopolistique et les manœuvres déloyales misent en œuvre pour établir son hégémonie ?
Et tu vas ressortir cette ligne encore dans 40 ans j'imagines, parce qu'on le sait bien, personne et rien n'a change dans MS depuis l'an 2000, c'est l'empire du mal apres tout.
Mais les 100 000$ je les ai tirés d'ailleurs : 96 ou 97 000$ de salaire de base + d'éventuelles primes de résultat. Ça me semble quand même sympa pour le taf que c'est.
C'est ce que fait un developpeur avec 1 ou 2 ans d'experience aux USA, c'est pas grand chose.
Pas contre je sais que tu n'es pas en position de dire que tu es pote avec ceux qui ont décidé de lancer Secure Boot, et tu n'es pas en position de dire s'ils avaient des intentions cachées.
Tu vois, le probleme c'est que c'est la que tu as tort. Tu n'as aucune idee de comment les features apparaisent dans Windows et comment le developpement fonctionne, moi j'ai passe 10 ans en plein milieu.
Les nouvelles features qui atterissent dans Windows, c'est pas Steve Ballmer et ses potes qui se reunissent dans un meeting et qui decident.
Ca vient des teams respectifs, leurs program managers revoient regulierement le marche, les avancees dans le domaine de leur team, etc… Ils creent des propositions pour la version N+1, voire N+2 et plus selon l'importance du bousin, cela se discute avec le dev team, les autres teams qui seraient concernes, etc… et au final ils decident de ce qui atterit dans le produit, dans quelle release, et ce qui n'atterit pas dans le produit.
Les features viennent d'en bas et remontent. Le haut management donne la 'vision', une idee a 10'000m d'altitude de ou ils veulent que le systeme aille (genre : "Windows can be used on all devices, from the watch to the datacenter" et les teams ensuite decident de ce dont il y a besoin pour y arriver, ce qui peut inclure nouvelle UI, refonte de certains systemes, …), et ensuite les teams decident du chemin.
Et comme tu l'imagines, Ballmer et cie n'ont jamais donne une vision contenant "Windows is the only system running on PCs". La vision etait "Windows is the most secure Operating System in the market". Et c'est ca qui a dicte SecureBoot : s'assurer que le systeme au boot est sain.
Avec le fuzzing justement pas non, car le resultat est habituellement un crash, c'est facile a voir :)
A mon avis d'ailleurs Codenomicon n'a probablement pas trouve ce bug en faisant tourner leur fuzzer, mais plutot de maniere manuelle( a mon avis ils etaient en train de regarder des captures de traffic ssl pendant du developpement/test de leur fuzzer et ils ont vu qqe chose de bizarre dans le paquet, ils ont gratte un peu plus et on vu), car il n'est pas aise de detecter un info leak.
Chaque utilisateur ne sera pas exclusivement OpenSSL ou GnuTLS (ou autre). Selon le soft il sera l'un ou l'autre, selon le service qu'il utilise en ligne, ce sera l'un ou l'autre sur le serveur.
L'utilisateur se retrouvera lui-meme en partie avec une lib, en partie avec une autre.
Donc oui, tu multiplies la surface d'attaque, car tu peux attaquer l'utilisateur a travers 2 libs maintenant, et en meme temps tu reduis l'impact d'une attaque car seuls les softs/services utilisant la lib vulnerable sont touches.
Non, par contre je connais certains des developpeurs/program manager/testeurs de SecureBoot, je sais comment les features sont amenees et developpees en interne, et je connais personnellement les 3/4 du groupe ou la bourde du browser-choice est arrivee, car c'est l'equipe ou j'ai passe 10 ans.
Tu crois qu'il s'est passe quoi ? Steve Ballmer est alle changer le code a la mano pour que le pop-up n'apparaisse pas sans que les developpeurs s'en rendent compte ? Tu crois qu'il a raconte des serenades a des developpeurs en leur disant "non non, change cette ligne, elle sert a rien" ? Qu'il a file $200'000 au dev et au testeur pour qu'ils le fassent ?
Faut franchement arreter d'halluciner et revenir sur terre. Non seulement les employes 'en bas' auraient saute au plafond, mais meme ceux du haut savent tres bien que faire cela ne vaut pas les 700 ou 800 millions d'amende. Ca a rapporte quoi a MS au final ? Rien, allez, on va dire qu'ils ont garde 2 ou 3% de parts de marche web en plus, super !
C'est un service , il faut uploader ton code source pour qu'il soit analyse.
Aucune boite ayant du code 'important' (= la ou ils font attention a la qualite) ne va le passer la dedans car cela revient a poser les bijoux de la couronne chez une partie tierce. Ils vont plutot utiliser http://www.coverity.com/products/coverity-save/ qui est un produit installable en interne, et qui ne donne aucune info (donc pas de statistiques) a Coverity.
Resultat, ici la comparaison est entre des outils internes qu'une entreprise a juge assez peu importants pour etre uploades sur le service, et du code libre qui est probablement un mix entre les joyaux (Apache, Linux, …) et des trucs moins importants.
Bref, une comparaison sacrement bancale. Si tu veux comparer proprio a libre, tu prends des softs de memes types (ils essaient de resoudre le meme probleme, donc complexite a peu pres identique) et tu compares.
Mettre Linux ou Apache d'un cote, et pas un OS/serveur web de meme importance de l'autre, cela biaise totalement la comparaison.
Pour l'autre partie, etant donne que je connais personnellement les gens et les groupes dans 2 des cas cites, on va dire que je sais largement mieux quoi penser que d'autres ici.
Ce qu'il te semble est totalement faux, mais evidemment si tu as envie de voir des complots partout tu es libre de le faire, personne ne t'en empeche, c'est ca la liberte !
For the 2013 Coverity Scan Report, the company analyzed code from more than 700 open source C/C++ projects **as well as an anonymous sample of enterprise projects**.
"Entreprise projects" c'est pas vraiment la meme chose que 'logiciel proprietaire', plutot un sous-ensemble tres particulier qui ne concerne que les logiciels developpes en interne par certaines entreprises pas forcement specialistes du sujet.
Ce que fait Adobe, MS, Apple, … par exemple n'entre pas dedans.
Tu multiplies la surface d'attaque, et donc les chances de trouver une faille, par 2, et tu divises (en imaginant que les utilisateurs sont proportionellement repartis) les victimes potentielles par 2.
Au final tu risques de te retrouver avec 5 failles touchant chacune 1/5eme de la population plutot qu'une faille touchant 100%
Mais evidemment, tout ca c'est des probabilites, a mon avis ca ne sera jamais possible car en software il y a une tendance a la selection d'un ou deux principaux joueurs.
Exim est le MTA par défaut de Debian. Je pense qu'il y a un certain nombre de serveurs Debian sur cette planète tu ne crois pas ?
Oui, ca ne veut pas dire qu'Exim est mis sur toutes ces installs ou est accessible.
CUPS est le système d'impression utilisé par tous les Unix et par Mac OSX. Il me semble que là aussi ça fait un sacré paquet de monde…
CUPS n'est utilise par quasiment personne en mode reseau (ou SSL serait utilise). Les seules personnes qui donnent a CUPS une base d'utilisateurs decente sont les Maceux, et peu d'entre eux ont une imprimante reseau car les Macs en entreprise c'est tres tres petit, surtout en cote serveur.
Faut quand meme revenir sur terre. Apache c'est la grosse majorite des serveurs web, MySQL c'est la grosse majorite des bases de donnees sur le web a mon avis, et il y a tout le reste encore.
D'après l'article Wikipedia il y a au moins GNOME, Exim, Mutt, wireshark et CUPS. Loin d'être négligeable donc.
Euuuuhhh…. tu rigoles ? C'est RIEN
Comptes le nombre de gens qui utilisent ces softs. Multiplie le chiffre par 10.
Ensuites tu prends le resultat, et tu compares au nombre de gens qui directement ou indirectement utilisent OpenSSL a travers Apache.
Ah oui, Apache a plus d'utilisateurs (je parles des gens qui s'y connectent donc) que ces softs reunis fois 10.
Ensuite tu rajoutes tout ce qui utilisateurs de OpenVPN, MySQL, PostgreSQL, etc… et tu te rends comptes que GnuTLS est inexistant dans ce monde.
Maintenant tu es un chercheur en securite, tu compares les 2, dans lequel des 2 est-ce que trouver une faille aiderait ta renommee le plus ou te ferait le plus d'argent (en imaginant que tu es du cote obscur) ?
C'est comme sur le desktop, il faudrait etre stupide pour aller essayer de trouver des failles dans KDE plutot que dans le shell Windows a moins d'avoir un interet particulier pour KDE
Dernier changement et non des moindres : les daemons communiquent désormais en HTTP(S). Ceci permet de mettre en place facilement un chiffrement efficace (modulo les failles dans OpenSSL évidemment) de manière simple par rapport aux versions précédentes qui utilisaient la librairie python Pyro peu compatible avec le SSL.
Et 30 secondes passees a regarder ce que fait le client HTTP donnent :
# Also set the SSL options to do not look at the certificates too much
self.con.setopt(pycurl.SSL_VERIFYPEER, 0)
self.con.setopt(pycurl.SSL_VERIFYHOST, 0)
Genre, ca sert a quoi SSL si le module en charge des connections ne verifie meme pas a qui il cause et se chope une attaque MITM avec un certificat valide mais avec un hostname different ?
[^] # Re: Comment profiter de cette nouvelle version ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à -4.
LOL, j'ai pris une distrib de 2002 parce que c'est du meme age a peu pres que XP.
Mais fais seulement, prends une distrib de 2007, ca changera pas grand chose.
Le tarball , bref pas d'integration du tout avec le systeme, super.
La realite est la, inutile de la masquer, vouloir installer des softs, ou versions de softs, qui ne sont pas dans le depot pour la version de la distrib qu'on a, c'est une enorme galere.
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 0.
Oui bon evidemment pas totalement inaccessible, sinon ca servirait a rien :)
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 3.
Ca s'appelle les cotes Est et Ouest des USA (je serais pas surpris que le milieu soit du meme type en passant), et j'ai pas encore vu de Bisounours en 13 ans, mais peut-etre que je n'ai pas regarde au bon endroit…
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 4.
C'est de la securite dont on parle ici. Fermer une porte en laissant la fenetre ouverte, ca revient a laisser la porte ouverte. Chiffrer les partitions ca ne resoud rien quand t'as un malware dans le BIOS. Mettre un mot de passe sur le BIOS non plus.
Un TPM avec une signature du code est essentiel pour avoir un systeme a peu pres sur : sans signature du code, et sans lieu inaccessible pour stocker ces signatures, tu ne peux pas savoir si ce qui tourne est autorise ou pas, tout simplement.
Ensuite, des problemes dans l'implementation de ce systeme par diverse parties oui certainement, t'auras toujours des gars incapable de suivre une recette, mais le design est sur.
[^] # Re: Comment profiter de cette nouvelle version ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à -10.
Non, simplement que le probleme des dependances sous Linux est un enorme probleme.
Pour faire tourner le dernier Firefox, il te faudra updater 4235 paquets sur ta machine. Sous Windows il te suffira d'installer le package, qui oh miracle, ne contient pas 4235 librairies.
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 10.
Ben en fait Ballmer a decide de partir quand je lui ai annonce mon depart, il a compris que c'etait la fin…
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 4.
Au contraire, c'est exactement ce que je disais a l'epoque : MS est un requin parmis d'autres.
Tout a fait
C'et un peu plus complique que ca quand meme. L'industrie software a pour elle qu'il est super simple de trouver un autre job si ton job te plait pas. Partant de la, les ingenieurs sont devenus 'difficiles' : avoir un job sur et un bon salaire n'est plus suffisant pour garder les employes. Il faut les chouchouter de toutes les manieres, leur faire sentir qu'ils font qqe chose de bien, etc…
Un manager qui debarque chez ses employes et leur dit : "Allez, faites ca, je m'en fous si vous trouvez ca degueulasse", va se retrouver avec la moitie de son equipe qui part chez la concurrence et probablement qqe posts sur twitter/FB qui vont donner une sale image de la boite.
Je peux tout a fait imaginer que les negotiations de contrat entre boites sont elles des joutes au couteau, mais au niveau du developpement des softs c'est un autre monde.
[^] # Re: Comment profiter de cette nouvelle version ?
Posté par pasBill pasGates . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à 3.
Va installer le dernier Firefox sur une Redhat de 2002, reviens me voir quand tu as finis.
Moi entretemps j'irais downloader le dernier Firefox et l'installer sur Windows XP en 2 minutes.
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 6.
Nan… j'aurais trop peur de perdre mon fan club apres toutes ces annees :)
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 5.
Parce que ce n'est pas une contre verite, et que contrairement a certains qui aiment s'imaginer le pire quand il s'agit de MS, j'ai vu les choses se faire.
Et tu vas ressortir cette ligne encore dans 40 ans j'imagines, parce qu'on le sait bien, personne et rien n'a change dans MS depuis l'an 2000, c'est l'empire du mal apres tout.
[^] # Re: Vitalité du projet
Posté par pasBill pasGates . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à 3.
C'est ce que fait un developpeur avec 1 ou 2 ans d'experience aux USA, c'est pas grand chose.
[^] # Re: Ça existe ou ça a existé :
Posté par pasBill pasGates . En réponse au journal Idée stupide sur la sécurité du code. Évalué à 2.
Je ne vois que 2 failles, dont une datant de 2010…
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 4.
Tu vois, le probleme c'est que c'est la que tu as tort. Tu n'as aucune idee de comment les features apparaisent dans Windows et comment le developpement fonctionne, moi j'ai passe 10 ans en plein milieu.
Les nouvelles features qui atterissent dans Windows, c'est pas Steve Ballmer et ses potes qui se reunissent dans un meeting et qui decident.
Ca vient des teams respectifs, leurs program managers revoient regulierement le marche, les avancees dans le domaine de leur team, etc… Ils creent des propositions pour la version N+1, voire N+2 et plus selon l'importance du bousin, cela se discute avec le dev team, les autres teams qui seraient concernes, etc… et au final ils decident de ce qui atterit dans le produit, dans quelle release, et ce qui n'atterit pas dans le produit.
Les features viennent d'en bas et remontent. Le haut management donne la 'vision', une idee a 10'000m d'altitude de ou ils veulent que le systeme aille (genre : "Windows can be used on all devices, from the watch to the datacenter" et les teams ensuite decident de ce dont il y a besoin pour y arriver, ce qui peut inclure nouvelle UI, refonte de certains systemes, …), et ensuite les teams decident du chemin.
Et comme tu l'imagines, Ballmer et cie n'ont jamais donne une vision contenant "Windows is the only system running on PCs". La vision etait "Windows is the most secure Operating System in the market". Et c'est ca qui a dicte SecureBoot : s'assurer que le systeme au boot est sain.
[^] # Re: Fuzzing technologies
Posté par pasBill pasGates . En réponse au journal Idée stupide sur la sécurité du code. Évalué à 4.
Avec le fuzzing justement pas non, car le resultat est habituellement un crash, c'est facile a voir :)
A mon avis d'ailleurs Codenomicon n'a probablement pas trouve ce bug en faisant tourner leur fuzzer, mais plutot de maniere manuelle( a mon avis ils etaient en train de regarder des captures de traffic ssl pendant du developpement/test de leur fuzzer et ils ont vu qqe chose de bizarre dans le paquet, ils ont gratte un peu plus et on vu), car il n'est pas aise de detecter un info leak.
[^] # Re: Code inutile
Posté par pasBill pasGates . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 7.
Ben ca depend du point de vue.
Chaque utilisateur ne sera pas exclusivement OpenSSL ou GnuTLS (ou autre). Selon le soft il sera l'un ou l'autre, selon le service qu'il utilise en ligne, ce sera l'un ou l'autre sur le serveur.
L'utilisateur se retrouvera lui-meme en partie avec une lib, en partie avec une autre.
Donc oui, tu multiplies la surface d'attaque, car tu peux attaquer l'utilisateur a travers 2 libs maintenant, et en meme temps tu reduis l'impact d'une attaque car seuls les softs/services utilisant la lib vulnerable sont touches.
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 2.
Non, par contre je connais certains des developpeurs/program manager/testeurs de SecureBoot, je sais comment les features sont amenees et developpees en interne, et je connais personnellement les 3/4 du groupe ou la bourde du browser-choice est arrivee, car c'est l'equipe ou j'ai passe 10 ans.
Tu crois qu'il s'est passe quoi ? Steve Ballmer est alle changer le code a la mano pour que le pop-up n'apparaisse pas sans que les developpeurs s'en rendent compte ? Tu crois qu'il a raconte des serenades a des developpeurs en leur disant "non non, change cette ligne, elle sert a rien" ? Qu'il a file $200'000 au dev et au testeur pour qu'ils le fassent ?
Faut franchement arreter d'halluciner et revenir sur terre. Non seulement les employes 'en bas' auraient saute au plafond, mais meme ceux du haut savent tres bien que faire cela ne vaut pas les 700 ou 800 millions d'amende. Ca a rapporte quoi a MS au final ? Rien, allez, on va dire qu'ils ont garde 2 ou 3% de parts de marche web en plus, super !
[^] # Re: Il faut bien lire...
Posté par pasBill pasGates . En réponse au journal Qualité du logiciel : le logiciel libre est bien meilleur que le propriétaire ! . Évalué à 10.
C'est la ou il est bon de comprendre de quoi on parle plutot que vite reposter un article…
Voila le produit dont on parle : https://scan.coverity.com/
C'est un service , il faut uploader ton code source pour qu'il soit analyse.
Aucune boite ayant du code 'important' (= la ou ils font attention a la qualite) ne va le passer la dedans car cela revient a poser les bijoux de la couronne chez une partie tierce. Ils vont plutot utiliser http://www.coverity.com/products/coverity-save/ qui est un produit installable en interne, et qui ne donne aucune info (donc pas de statistiques) a Coverity.
Resultat, ici la comparaison est entre des outils internes qu'une entreprise a juge assez peu importants pour etre uploades sur le service, et du code libre qui est probablement un mix entre les joyaux (Apache, Linux, …) et des trucs moins importants.
Bref, une comparaison sacrement bancale. Si tu veux comparer proprio a libre, tu prends des softs de memes types (ils essaient de resoudre le meme probleme, donc complexite a peu pres identique) et tu compares.
Mettre Linux ou Apache d'un cote, et pas un OS/serveur web de meme importance de l'autre, cela biaise totalement la comparaison.
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à 1.
C'est en partie vrai.
Pour l'autre partie, etant donne que je connais personnellement les gens et les groupes dans 2 des cas cites, on va dire que je sais largement mieux quoi penser que d'autres ici.
[^] # Re: Est-ce si étonnant ?
Posté par pasBill pasGates . En réponse au journal Secureboot pas si secure. Évalué à -1.
Ce qu'il te semble est totalement faux, mais evidemment si tu as envie de voir des complots partout tu es libre de le faire, personne ne t'en empeche, c'est ca la liberte !
# Il faut bien lire...
Posté par pasBill pasGates . En réponse au journal Qualité du logiciel : le logiciel libre est bien meilleur que le propriétaire ! . Évalué à 4.
"Entreprise projects" c'est pas vraiment la meme chose que 'logiciel proprietaire', plutot un sous-ensemble tres particulier qui ne concerne que les logiciels developpes en interne par certaines entreprises pas forcement specialistes du sujet.
Ce que fait Adobe, MS, Apple, … par exemple n'entre pas dedans.
[^] # Re: Code inutile
Posté par pasBill pasGates . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 9.
C'est possible, dur a dire.
Tu multiplies la surface d'attaque, et donc les chances de trouver une faille, par 2, et tu divises (en imaginant que les utilisateurs sont proportionellement repartis) les victimes potentielles par 2.
Au final tu risques de te retrouver avec 5 failles touchant chacune 1/5eme de la population plutot qu'une faille touchant 100%
Mais evidemment, tout ca c'est des probabilites, a mon avis ca ne sera jamais possible car en software il y a une tendance a la selection d'un ou deux principaux joueurs.
[^] # Re: Code inutile
Posté par pasBill pasGates . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 10.
Oui, ca ne veut pas dire qu'Exim est mis sur toutes ces installs ou est accessible.
CUPS n'est utilise par quasiment personne en mode reseau (ou SSL serait utilise). Les seules personnes qui donnent a CUPS une base d'utilisateurs decente sont les Maceux, et peu d'entre eux ont une imprimante reseau car les Macs en entreprise c'est tres tres petit, surtout en cote serveur.
Faut quand meme revenir sur terre. Apache c'est la grosse majorite des serveurs web, MySQL c'est la grosse majorite des bases de donnees sur le web a mon avis, et il y a tout le reste encore.
[^] # Re: Code inutile
Posté par pasBill pasGates . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 10.
Euuuuhhh…. tu rigoles ? C'est RIEN
Comptes le nombre de gens qui utilisent ces softs. Multiplie le chiffre par 10.
Ensuites tu prends le resultat, et tu compares au nombre de gens qui directement ou indirectement utilisent OpenSSL a travers Apache.
Ah oui, Apache a plus d'utilisateurs (je parles des gens qui s'y connectent donc) que ces softs reunis fois 10.
Ensuite tu rajoutes tout ce qui utilisateurs de OpenVPN, MySQL, PostgreSQL, etc… et tu te rends comptes que GnuTLS est inexistant dans ce monde.
Maintenant tu es un chercheur en securite, tu compares les 2, dans lequel des 2 est-ce que trouver une faille aiderait ta renommee le plus ou te ferait le plus d'argent (en imaginant que tu es du cote obscur) ?
C'est comme sur le desktop, il faudrait etre stupide pour aller essayer de trouver des failles dans KDE plutot que dans le shell Windows a moins d'avoir un interet particulier pour KDE
[^] # Re: des éléments de réponse ?
Posté par pasBill pasGates . En réponse au journal Modèle économique dans les jeux libres. Évalué à 6.
drogue et poireaux ?
Drole de combinaison…
# Tu m'excuseras de rire...
Posté par pasBill pasGates . En réponse à la dépêche Shinken version 2.0. Évalué à 10.
Je lis :
Et 30 secondes passees a regarder ce que fait le client HTTP donnent :
# Also set the SSL options to do not look at the certificates too much
self.con.setopt(pycurl.SSL_VERIFYPEER, 0)
self.con.setopt(pycurl.SSL_VERIFYHOST, 0)
Genre, ca sert a quoi SSL si le module en charge des connections ne verifie meme pas a qui il cause et se chope une attaque MITM avec un certificat valide mais avec un hostname different ?