pasBill pasGates a écrit 16062 commentaires

C'est possible, dur a dire.

Tu multiplies la surface d'attaque, et donc les chances de trouver une faille, par 2, et tu divises (en imaginant que les utilisateurs sont proportionellement repartis) les victimes potentielles par 2.

Au final tu risques de te retrouver avec 5 failles touchant chacune 1/5eme de la population plutot qu'une faille touchant 100%

Mais evidemment, tout ca c'est des probabilites, a mon avis ca ne sera jamais possible car en software il y a une tendance a la selection d'un ou deux principaux joueurs.

Exim est le MTA par défaut de Debian. Je pense qu'il y a un certain nombre de serveurs Debian sur cette planète tu ne crois pas ?

Oui, ca ne veut pas dire qu'Exim est mis sur toutes ces installs ou est accessible.

CUPS est le système d'impression utilisé par tous les Unix et par Mac OSX. Il me semble que là aussi ça fait un sacré paquet de monde…

CUPS n'est utilise par quasiment personne en mode reseau (ou SSL serait utilise). Les seules personnes qui donnent a CUPS une base d'utilisateurs decente sont les Maceux, et peu d'entre eux ont une imprimante reseau car les Macs en entreprise c'est tres tres petit, surtout en cote serveur.

Faut quand meme revenir sur terre. Apache c'est la grosse majorite des serveurs web, MySQL c'est la grosse majorite des bases de donnees sur le web a mon avis, et il y a tout le reste encore.

D'après l'article Wikipedia il y a au moins GNOME, Exim, Mutt, wireshark et CUPS. Loin d'être négligeable donc.

Euuuuhhh…. tu rigoles ? C'est RIEN

Comptes le nombre de gens qui utilisent ces softs. Multiplie le chiffre par 10.

Ensuites tu prends le resultat, et tu compares au nombre de gens qui directement ou indirectement utilisent OpenSSL a travers Apache.

Ah oui, Apache a plus d'utilisateurs (je parles des gens qui s'y connectent donc) que ces softs reunis fois 10.

Ensuite tu rajoutes tout ce qui utilisateurs de OpenVPN, MySQL, PostgreSQL, etc… et tu te rends comptes que GnuTLS est inexistant dans ce monde.

Maintenant tu es un chercheur en securite, tu compares les 2, dans lequel des 2 est-ce que trouver une faille aiderait ta renommee le plus ou te ferait le plus d'argent (en imaginant que tu es du cote obscur) ?

C'est comme sur le desktop, il faudrait etre stupide pour aller essayer de trouver des failles dans KDE plutot que dans le shell Windows a moins d'avoir un interet particulier pour KDE

drogue et poireaux ?

Drole de combinaison…

Je lis :

Dernier changement et non des moindres : les daemons communiquent désormais en HTTP(S). Ceci permet de mettre en place facilement un chiffrement efficace (modulo les failles dans OpenSSL évidemment) de manière simple par rapport aux versions précédentes qui utilisaient la librairie python Pyro peu compatible avec le SSL.

Et 30 secondes passees a regarder ce que fait le client HTTP donnent :

# Also set the SSL options to do not look at the certificates too much
self.con.setopt(pycurl.SSL_VERIFYPEER, 0)
self.con.setopt(pycurl.SSL_VERIFYHOST, 0)

Genre, ca sert a quoi SSL si le module en charge des connections ne verifie meme pas a qui il cause et se chope une attaque MITM avec un certificat valide mais avec un hostname different ?

Ah ca oui, le code est une horreur, je confirme a 100%, tout comme la doc.

Maintenant, GnuTLS est utilise par tres peu de gros softs, le jour ou il remplace OpenSSL et qu'il est sous les feux de la rampe, qu'est ce qui nous dit qu'il fera mieux qu'une lib qui est en premiere ligne depuis longtemps et qui donc a ete auscultee depuis longtemps ?

cela ne concene pas "monsieur" pbpg

Non bien sur, tu parles des employes de MS, tu sais parfaitement que j'ai bosse des annees la-bas, mais non voyons, ca ne me concerne pas

Le reste je pourrai y repondre aussi mais je n'en ai pas besoin vu que tu "dis" que j'ai dit quelques choses mais sans apporter les preuves

Preuves ?

• Menteur : http://linuxfr.org/users/pied/journaux/microsoft-sort-un-pilote-libre-du-flan#comment-1052081 et http://linuxfr.org/users/pied/journaux/microsoft-sort-un-pilote-libre-du-flan#comment-1052285 entre autres

On notera d'ailleurs que c'est toi qui ment dans le dernier post, en effet, tu n'etais pas 'parti' du site, tu t'etais fais virer par les admins

• Vendu / payer pour etre ici : http://linuxfr.org/users/zaurus/journaux/plus-deee-pc-vendus-sous-linux-par-defaut#comment-1200324 et de nombreux autres

• Virer du site, c'est deja mentionne sur http://linuxfr.org/users/pied/journaux/microsoft-sort-un-pilote-libre-du-flan et ca c'est passe ici : http://linuxfr.org/users/anonyme/journaux/odf-et-microsoft-office-2007-sp2-suite-et-surement-pas-fin#comment-1030857

Mais comme d'hab, quand on te met le nez dans le merde, tu pars vite te cacher.

Pour moins que le prix d'une nouvelle licence + ordinateur neuf + logiciels neuf qui ne font pas forcément la même chose ou n'ont pas forcément les mêmes formats de fichiers

Tiens, tu le sors d'ou ce chiffre ?

ils aurraient un OS qui dépend de leur association et non d'une worldcompany

Et qu'est ce qu'ils en ont a faire que ce soit une 'worldcompany' ? Paribas prefere un travail d'artisan des cotes Normandes c'est ca ?

avec l'assurance que cet OS ne sert pas en plus à de l'espionnage industriel

C'est une assurance qu'ils ont deja ca, donc ca ne vaut rien comme element.

Indice : Faire un sniff reseau c'est facile, ca fait 13 ans que personne n'a rien vu avec XP, et a moins que les firewalls de ta boite soient des passoires, le systeme n'a aucun moyen d'etre 'allume' exterieurement.

Pourquoi ? Parce que tu ne sais justement pas si ca fonctionnera avec ReactOS. C'est une reimplementation, pas l'original.

Alors qu'une VM sous XP ben c'est clair, c'est le meme OS.

Je faisais pas de comparaison avec MS, simplement entre OpenSSL et GnuTLS…

Mais vu que tu parles de ces 2 (2 parce que les liens sous "Alors" et "probleme" pointent sur la meme vulnerabilite & patch) vulnerabilites, tu remarqueras que les 2 que tu cites sont des vulnerabilites dans le protocole lui-meme, pas dans l'implementation que MS a faite. A peu pres tout le monde etait vulnerable :

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555

The TLS protocol, and the SSL protocol 3.0 and possibly earlier, as used in Microsoft Internet Information Services (IIS) 7.0, mod_ssl in the Apache HTTP Server 2.2.14 and earlier, OpenSSL before 0.9.8l, GnuTLS 2.8.5 and earlier, Mozilla Network Security Services (NSS) 3.12.4 and earlier, multiple Cisco products, and other products, does not properly associate renegotiation handshakes with an existing connection, which allows man-in-the-middle attackers to insert data into HTTPS sessions

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389

The SSL protocol, as used in certain configurations in Microsoft Windows and Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, and other products, encrypts data by using CBC mode with chained initialization vectors, which allows man-in-the-middle attackers to obtain plaintext HTTP headers via a blockwise chosen-boundary attack

Ce dernier n'est d'ailleurs pas une faille de SSL lui-meme, mais une faiblesse dans l'utilisation qui en est faite car les gens se sont rendu compte que CBC est pourri.

C'est une sacre difference compare aux failles recentes d'Apple, GnuTLS et OpenSSL ou les vulnerabilites etaient dues a des erreurs dans l'implementation par les devs et le QA qui n'a pas trouve le probleme.

GnuTLS ?

Celui la : http://www.zdnet.com/goto-apple-gnutls-falls-foul-of-ssl-certificate-verification-issues-7000026957/ ?

Pas sur que ce soit mieux qu'OpenSSL…

J'ai demande ce qui pouvait etre en trop, comment tenter de faire maigrir le bousin, j'ai eu quelques liens que j'ai teste (qui n'ont pas fait grand chose) et des insultes. Au bout d'un moment j'en ai un peu assez des insultes. Je pense que c'est comprehensible.

Si seulement c'etait vrai. Le truc c'est que tu n'as pas hesite une seconde a affirmer que Windows prenait >20Gb de base. Tu n'as jamais laisse la place a l'hypothese que tu aurais rate un truc, non comme d'habitude tu as affirme quelque chose de totalement faux sur Windows/MS en le posant comme si c'etait un fait avere. Et ca fait des annees que tu joues ce petit jeu pourri.

Avec un comportement pareil, rien d'impressionant au fait que tu sois traite d'incompetent ou FUDeur, c'est le resultat de ton comportement. Tu ne l'aimes pas ? Change de comportement.

Personnne ne le force a le faire et personne ne le force a insulter les gens qui ne sont pas d'accord avec lui.

Mes reponses a tes posts ne te sont pas destinees, elle n'ont pas pour but de te faire changer d'avis, ni de t'expliquer quoi que ce soit, parce que tout le monde sait parfaitement que tu n'as jamais ete interesse par la verite, ton objectif n'a jamais ete autre que cracher ton venin sur MS, peu importe la realite des choses.
Je reponds pour que les gens qui lisent ce forum aient la possibilite d'avoir un contre-argument a tes salades.

Pour le reste :
1) Te traiter d'incompetent et FUDeur n'est pas une insulte (tu devrais acheter un dictionnaire pour comprendre ce mot), c'est simplement une realite.
2) Venant de qq'un qui me traite de :
- menteur
- connard ( http://linuxfr.org/users/dcp/journaux/systemd-vs-linux-quand-l-intransigeance-d-un-developpeur-tourne-au-ridicule#comment-1530619 )
- vendu / paye par ma boite pour etre la
- …

et que tu n'as pas hesite a mettre des infos me concernant en publique ici, ce qui t'a valu de te faire ejecter ton compte par les admins, on va dire que tu fais bien attention a ne pas regarder la poutre qui est dans ton oeil

Besoin de repondre ?

Il y a qq'un (pas moi donc) sur ce meme journal qui a fait l'essai pour verifier mes dires, et qui a fini son install en moins de 10Gb ( commentaire : http://linuxfr.org/users/ben_le_sphinx/journaux/fin-du-support-de-ms-windows-xp#comment-1525935 )

Résultat 10G à l'installation. Je n'ai bêtement pas pris de capture d'écran, mais j'avais 29G de libre sur 39.

Que veux tu que je rajoutes de plus ? La question etait : quelle est la taille minimale d'installation d'un Windows, la reponse est la, exactement comme je l'avais dite.

Ton Surface Pro, a toi de regarder ce qu'il contient, je suis pas (plus) le support technique de MS, j'ai pas acces a ta machine ou un Surface Pro pour regarder, et si je devais faire ce genre d'effort pour chaque personne sur linuxfr.org qui me dit qu'il aimerait savoir pourquoi Windows fait/ne fait pas X,Y,Z j'aurais du boulot pour 3 personnes a plein temps.

Oh et vu qu'on est sur le sujet des installs minimales :

http://blogs.windows.com/windows/b/springboard/archive/2014/04/10/what-is-windows-image-boot-wimboot.aspx

Windows 8.1 Update a un nouveau format d'installation qui permet des installs completes en 4Gb, partion de sauvegarde incluse.

Absolument pas c'est toi qui pretend que ce n'est ni l'un ni l'autre et donc c'est a toi de donner la troisieme possibilite. Je n'ai absolument pas demande que tu prouves la troisieme possibilite mais que tu dises ce que cela peut etre mais visiblement tu n'en as strictement aucune idee, ce qui ne me surprend pas trop…

LOL. Quelle belle logique : Un FUDeur lance des rumeurs, et l'onus est aux autres de prouver qu'il a tort. Tu fais vraiment pitie.

Je n'ai donc absolument pas a donner de preuves et je laisse les personnes de ce site juge eux meme sur le sujet. Personnelement je ne prends pas les gens pour des debiles.

Pas a donner de preuves ? Ah oui tiens, allez, balancons des conneries, pas besoin d'etayer ses dires !! C'est a l'accuse de prouver son innocence !

Personnelement je ne prends pas les gens pour des debiles.

Oh que si justement, car tu sors constamment connerie sur connerie a la maniere d'un propagandiste de bas etage.

Et le pire c'est que sais parfaitement quel jeu tu joues, tu es parfaitement conscient de la strategie degueulasse que tu utilises, et c'est vraiment repugnant.

Je n'ai aucun besoin de prouver que tu racontes des conneries, c'est toi qui accuses, c'est a toi de prouver que MS l'a fait par incompetence ou malice.

Et comme 99.5% de tes posts, tu n'as jamais amene la moindre once de preuve de tes dires, tu regardes un ou deux symptomes et tu en tires la conclusion que tu veux car ca arrange ta haine de MS. Tu fais toujours bien attention a ne pas chercher la moindre explication qui pourrait amener a une autre conclusion.

Pathetique comme approche, mais bon, avec toi on commence a avoir l'habitude.

Je n'ai rien a t'expliquer, tu n'as jamais cherche ni fait l'effort en plusieurs annees de regarder si il pouvait y avoir quoi que ce soit d'autre dans les decisions de MS que de l'incompetence ou de la volonte de creer des dommages.

Partant de la, il est inutile de perdre du temps a t'expliquer des choses dont tu te fous totalement vu que ton seul objectif est de cracher ton venin sur cette boite.

a toujours fait des tests de premiere classes

C'est tout a fait vrai, ravi que tu t'en sois finalement rendu compte !

les updates ne foirent jamais chez eux

Tu exageres, on va dire "tres tres rarement" plutot

la sécurité c'est le top du top

Effectivement, ravi que tu aies enfin realise ce que toute l'industrie de la securite dit

a tel point que l'on peut vivre sans antivirus sur leurs OS depuis toujours

Si tu evites de lancer kournikova.exe oui certainement, comme sous Linux quoi

mais non ce n'est pas de la malveillance si un update de windows modifie l'ordre de boot de UEFI cela a été teste par Microsoft…

Non, c'est juste toi qui comme d'habitude fait des commentaires sans meme chercher a comprendre le pourquoi du comment, mais bon, on commence a avoir l'habitude

Moi je me contentes de comparer a ce que j'ai vu.

Je prends Samba par exemple, ce qu'ils ont en tests est :

a) Plus que la grande majorite des projets open source
b) Bcp moins que ce que MS a

Si ca se trouve, Samba a bcp plus que la grande majorite des boites proprios, ca je peux pas comparer, j'en connais que 2 de l'interieur, mais quand je compares a ce que je connais, ben il n'y a pas photo.

Au cours de mes différents messages, j'ai tenté de souligner le fait que Gnu/Linux est déjà utilisé comme OS mobiles par certaines entreprises. Nokia l'a fait, avec Maemo et Meego…

Linux sur le desktop a plus de parts de marche que ces systemes reunis sur le marche mobile… Ces systemes que tu listes ne sont rien d'autres que des experiences a ce niveau. Rien de competitif dans le marche.

Développer une GUI pour un constructeur ne demande pas tant d'efforts que ca, et actuellement, avec le projet Mer (ou la partie Open Source de Meego si tu préfères), c'est la seule chose à faire pour avoir un OS mobile Gnu/Linux.

Pas tant d'efforts que ca ? Je crois que tu ne te rend pas du tout compte de ce que ca prend de developper un systeme grand public plutot. Et l'UI est loin, tres tres loin, d'etre la seule chose a faire. Tu sandbox comment les apps tout en leur permettant de communiquer si besoin est ? etc… Linux n'a rien pour ca aujourd'hui, tu proposes quoi ? Que les apps ne communiquent pas du tout ?

Non pas du tout. Je propose que les éditeurs fassent comme sous Mac OS X en embarquant tout ce qui est nécessaire et non standard à une distribution dans une grosse archive pour être certains que l'environnement nécessaire est présent (par exemple la bonne version de Qt ou de GTK). Je n'ai jamais dit que c'était propre, mais c'est faisable et ca marche.

Ah c'est sur que ca marche, mais c'est un veritable traquenard au niveau maintenance, et cela n'evite toujours pas le besoin de tester sur 432 distribs differentes, ce qui est tres couteux.

Aucune idee mais je vois pas trop l'interet de la question non plus, tous les Linux etaient des mises a jour ?

Plus de 10% des ventes de Windows ont toujours ete en boites.

Rien que la, ca fait 9x les parts de marche de Linux

1) J'ai dit ou que Linux etait de la merde ?
2) Certains restent sous XP pour ca oui c'est sur. D'autres restent sur XP car il leur suffit tout simplement
3) Plein de gens on migre sur des versions de Windows ulterieures. Les Windows >XP font 65% du marche. Combien ont migre sur Linux ? Quasiment personne.

On parle des libs de l'OS la (quoique je crois bien que WinSxS gere les libs non-OS aussi).

Sous Linux :
Le soft a besoin de disons OpenSSL 1.0.1f, qui elle meme a besoin de glibc 2.14 (pas un hasard, ca m'est arrive la semaine passee…). C'est des libs 'systeme' ca, que toute distrib normalement a, mais la tout soft qui veut tenir sur plusieurs distribs est oblige de les packager avec lui a cause des conflits de version, et est aussi oblige de l'updater lui-meme.

Avec WinSXS tu packages la version de la lib au cas ou elle ne serait pas deja sur le systeme, tu ecris ton manifeste WinSXS qui definit quelles versions tu as besoin, et si le systeme a une version mineure de la lib plus elevee que celle de ton package, tu en beneficie automatiquement.

D'un autre cote, quand il est passe de Win9x a Windows XP, il a totalement change de type d'OS (passage a la lignee nt), imagine upgrader de Linux a FreeBSD ou l'inverse…

Mac j'en sais rien, je connais pas trop.

Sous Windows tu regardes les softs, les apps qui prennent un dll de l'OS et le copient dans leur repertoire ca n'existe quasiment plus (j'en connais pas mais j'imagines qu'il y a bien qqe fous qui l'ont fait).

Tu veux avoir un soft qui marche sur plusieurs distribs differentes sous Linux, t'es oblige de te taper toutes les dependances dans ton package, que ce soit les libs de widgets (Gtk/Qt), les libs reseau (openssl), etc…

Windows a ajoute WinSxS qui resoud les problemes de dependances sur des versions differentes de libs, et qui s'occupe de gerer le patching aussi, resultat le probleme a presque totalement disparu.