pasBill pasGates a écrit 16062 commentaires

Non, pour la simple et bonne raison que bon nombre de ces beta-testeurs n'ont pas les competences pour trouver la faille, resultat ils envoient un bug report avec ce qu'ils ont fait et c'est tres souvent le gars qui a ecrit le code qui corrige le bug.

Corriger ou localiser un bug dans le kernel ou autre partie non-triviale c'est pas a la portee de tout le monde, faut avoir une bonne connaissance du logiciel que tu debugge et du code, et ca d'habitude c'est ceux qui ont ecrit le code, pas les beta-testeurs. Si localiser un bug revient a envoyer un dump du debugger, ben sous Windows t'envoyes le dump, c'est la meme chose. Si il s'agit d'aller plus loin, ca devient tout de suite bien plus complexe.

Alors oui, en theorie c'est faisable avec l'open-source et pas avec le proprietaire, en pratique la difference est assez faible.

Oui, apres un petit moment les gens trouveront le probleme, et d'ici la combien auront ete infecte ?
Mon backdoor infecte ensuite les rpms qu'il trouve sur ta machine, tu les passes a tes amis, et hop ca se propage.

Mon exemple prouve simplement qu'avoir un soft open-source ne garantit en rien une protection reelle, car le fait est que la verification des sources prend un certain temps pour se realiser et qu'entre-temps tu as tout le loisir d'infecter ce que tu veux.

Non effectivement, maintenant la question est: combien de bugs sont trouves par un dev qui lit le code, et combien sont trouves par un testeur qui voit sa machine torcher ?

La proportion est tres largement en faveur des beta-testeurs ayant leur soft qui torche, pour la simple et bonne raison que le code passe normalement par une code review d'un autre developpeur avant de finir dans le tree. Resultat de temps en temps une couille visible a l'oeil nu passe, mais c'est rare, seules les couilles tres difficiles a detecter a l'oeil nu passent, et celles la ben dans l'enorme majorite des cas, les autres devs les verront pas non plus.

Le "grand public" pour Linux c'est toi et moi, des gens qui participent pas forcement au developpement mais qui pourraient tout a fait aller sur kernel.org downloader le kernel et l'installer, si on avait fait ca on se serait fait entuber profond.
Un noyau qui sort de la branche stable est "grand public" par defaut. Tout comme un service pack, les beta/RC1/RC2 sont "instable", le RTM est grand public. Ils ont pas appele la branche stable "stable" pour faire joli uniquement, c'est pour que les gens prennent ces kernels la en sachant qu'ils sont stables et verifies.

Sinon, entre une merde dans un service pack gratos pour un OS que t'as paye et une merde dans un kernel qui s'installe sur une distrib que t'as payee le resultat est le meme, t'es enerve dans les 2 cas car ca a torche ta machine voire tes donnees.

Ben qu'est ce qui est le plus simple ?

Porter des applications/scripts de Unix a Unix ou de Windows a Unix ?

Faire passer son admin Unix a Linux ou faire passer un admin Windows a Linux(voire le remplacer) ?

Voila les raisons.

"Sisi chef je vous dis, on peut remplacer tous nos gros serveurs par du Linux, la preuve que c'est baleze: on peut faire marcher des XBox en reseau avec !!"

"Comment ca je suis vire ?"

il n'est pas rares de voir des vieilles stations HP ou Sun etre remplacées par des PC sous Linux.

Comme tu le constates toi-meme, Linux a surtout tendance a remplacer les Unix, pas Windows.

Et vous etes moins secure que AIX et IRIX et HP-UX aussi, comme quoi ca ne veut rien dire.

Ben si c'est exploitable: http://www.securityfocus.com/archive/1/242750(...)

Mais la question n'est pas la, que MS(ou autre) soit le seul a etre au courant ou pas ne change rien, il faut limiter le plus possible les moyens de profiter de la faille jusqu'a ce que le patch soit sorti, ca n'empeche pas d'annoncer la faille mais ca protege au maximum en attendant le patch. Au pire c'est le meme resultat, au mieux ca empeche les script kiddies de hacker des machines.

Mais non, si tu donnes des la decouverte de la faille des infos generales sur la faille et un workaround, les admins peuvent se proteger en attendant le patch, et les script kiddies peuvent pas utiliser l'exploit pour torcher 90% des serveurs. Les admins ils y perdent rien.
Dans le pire cas ca ne change rien car les details ont ete divulges d'une maniere ou d'une autre.

Ben si on prend l'exemple de IE et les cookies:

- Tu dis des la decouverte de la faille:
"Il y a une faille dans la gestion des cookies, il est fortement conseille de bloquer la gestion des cookies pour eviter d'etre une victime"

Tu donnes un moyen aux gens de se proteger et tu ne dis pas aux script kiddies comment profiter de la faille

Ensuite, des que le patch est pret ou dans X(MS a propose 30) jours tu devoiles les details
Le patch est dehors donc les gens peuvent reutiliser les cookies et sont proteges
Les gens peuvent voir la faille et tester le patch
...

Ou est le probleme ?

Ah moi je dis ca ?

A croire que t'es en vacances quand je hurles sur les dev de IIS alors.

D'autre part mon prob n'est pas qu'il y ait une faille dans Linux car je sais pertinemment que ca arrive a tout le monde, d'ailleurs c'est pas dans Linux mais dans wu-ftpd. Mon prob c'est la maniere dont la faille a ete geree a ete encore plus obscure que ce que MS avait propose et MS s'est fait allumer pour ca. J'aimerais donc que soit les distribs se fassent allumer, soit que les gens qui ont allume MS admettent qu'ils s'etaient trompes.

Moi je crois surtout que t'as absolument rien compris a ce que j'ai dit.

Ce que Redhat/Suse/... faisaient(s'entendre pour ne pas sortir la faille avant le patch), moi je suis pour.

Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.

Si moi demain je trouves une faille dans Linux et que je la crie sur tous les toits avec les details, ben ca fout tout le monde dans la merde car les script kiddies peuvent s'amuser a torcher tous les systemes Linux sur le net, et ton open-source il fait rien contre ca car les scripts kiddies auront l'exploit avant que le patch soit sorti.

Il est absolument pas question de revolutionner/innover ou quoi que ce soit, il est question d'eviter que les script kiddies puissent s'amuser a faire torcher la moitie des machines sur le reseau car l'exploit a ete divulgue avant le patch.

MS a propose une solution a ca, et le monde du libre l'a descendu en flamme. Maintenant les gens du libre se rendent compte que leurs distribs preferees font la meme chose, alors soit ils sont en accord avec eux meme et ils agissent de la meme maniere avec leurs distrib qu'avec MS, soit ils admettent qu'il n'y avait aucune raison de hurler contre MS.

C'est juste une histoire d'etre equitable entre 2 entites qui se comportent de maniere identique.

Justement, chacun son boulot.

Vous vous occupez de la partie Microsoft plus que regulierement, je prends donc une partie du boulot et je m'occupe de l'autre partie, histoire que ce soit equitable.

Dans le 1er cas oui il est probable que ce sera decouvert au bout d'un moment plus ou moins long, mais ca aura surement deja permis d'infecter un tres grand nombre de gens. Le mal aura deja ete fait.

Dans le 2eme cas, ben moi je vois qu'on trouve des buffer overflows depuis des annees dans wu-ftpd et sendmail, dans Windows, IIS, et plein d'autre softs.
Mon experience et celle de mes collegues qui je te le rappelle ne faisont que ca et rien d'autre(= corriger des bugs) est que trouver des buffer overflows peut etre particulierement complexe, un buffer overflow ca peut rester cache des annees dans un soft sans qu'on s'en apercoive, et cela malgre les softs developpes pour les trouver, les stress tests, les code reviews,...

C'est le cas PARTOUT, monde proprio ou libre, la solution miracle contre les BO dans les progs en C/C++ n'existe pas encore, le jour ou tu arriveras a me PROUVER qu'un soft non-trivial ne contient pas de buffer overflow je te paie le champagne.

Non, ce qui s'est probablement passe(pure speculation mais a mon avis c'est ca) est :

- La boite trouve la faille et l'annonce a la distrib XYZ et les auteurs
- La distrib XYZ informe les autres distrib et se met d'accord avec les autres et les auteurs pour une date de release du patch et une certaine discretion
- chacun reste discret de son cote et corrige le bug
- tout le monde release le patch en meme temps que l'annonce de la faille

Non, si la boite qui trouve la faille ne voit rien apres 30 jours ils peuvent sortir les details, que MS ait sorti le patch ou pas.

Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca foutrait une atmosphere peu agreable je pense.

La pique c'etait de montrer que les distrib vont plus loin que ce que MS preconisait, alors qu'ils s'etaient fait allumer par les supporters du libre pour ca.

MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille

Les distrib ont fait:
- On ne revele rien avant la sortie du patch

Alors bon, si vous arrivez a vivre avec ce que les distrib font, vous pourrez surement vivre avec la methode MS qui est moins obscure, ou sinon, traitez les distrib de tous les noms comme ca c'est passe pour MS.

Les boites genre Redhat, Mandrake,... ont probablement un departement "securite" qui recoit les annonces de failles de securite, ensuite ils les transmettent les uns aux autres.

La boite qui a trouve la faille a une "policy" qui est de ne rien dire pendant un certain temps histoire de laisser le temps aux gens de corriger la faille, il est donc clair qu'ils allaient pas faire l'annonce sur une mailing-list Linux...

Euh oui mais si il y a deux advisory sur securityfocus.com ca devient subitement bien plus credible :+)

bon c'est vrai que j'ai ete incomplet dans la news, mea culpa.

Voici une advisory updatee : http://www.securityfocus.com/archive/1/242750(...)

Dans laquelle il est specifie que :
1) les vendeurs ont ete mis au courant le 14 Novembre( donc 3 semaines avant au lieu de 2, encore une erreur de ma part)
2) Redhat a sorti l'annonce le 27 alors que c'etait prevu le 3 decembre et que de ce fait les autres distrib ont pas eu le temps de corriger la faille
3)un autre site: http://news.cnet.com/news/0-1003-200-8007615.html(...) qui precise que les distruteurs etaient a peu pres tous au courant

J'ai vu ca sur Slashdot et sur un autre site qui etait linuxtoday je crois. Pour les autres distrib je crois me souvenir qu'il y avait Mandrake(pas sur) mais je sais pas pour les autres.

C'est pas le probleme de coordination que je souleve, c'est ce que le probleme de coordination a revele: que les distrib s'entendent entre elles pour cacher les failles jusqu'au moment ou ils ont un patch.

Sinon, je m'interessais aux news sur Linux a l'epoque ou fvwm etait considere comme le top des GUI sur Linux, j'ai pas attendu la vague mediatique Linux pour ca.

Pour ton info, je suis a la base Amigaiste et Unixien, et j'ai probablement encore pour quelques mois plus de connaissances de ces 2 systemes que de Windows...

Mais bon, ca n'a rien a faire la --> -1

Ils se sont excuses pour avoir sorti le patch et l'alerte trop tot.

Au passage, je tiens a rectifier ma propre news, MS ne proposait pas de ne pas annoncer la faille avant la disponibilite du patch, mais uniquement de ne pas annoncer les details(=exploit) de la faille, la faille en elle-meme peut etre annoncee avant.