pasBill pasGates a écrit 16349 commentaires

Il est absolument pas question de revolutionner/innover ou quoi que ce soit, il est question d'eviter que les script kiddies puissent s'amuser a faire torcher la moitie des machines sur le reseau car l'exploit a ete divulgue avant le patch.

MS a propose une solution a ca, et le monde du libre l'a descendu en flamme. Maintenant les gens du libre se rendent compte que leurs distribs preferees font la meme chose, alors soit ils sont en accord avec eux meme et ils agissent de la meme maniere avec leurs distrib qu'avec MS, soit ils admettent qu'il n'y avait aucune raison de hurler contre MS.

C'est juste une histoire d'etre equitable entre 2 entites qui se comportent de maniere identique.

Justement, chacun son boulot.

Vous vous occupez de la partie Microsoft plus que regulierement, je prends donc une partie du boulot et je m'occupe de l'autre partie, histoire que ce soit equitable.

Dans le 1er cas oui il est probable que ce sera decouvert au bout d'un moment plus ou moins long, mais ca aura surement deja permis d'infecter un tres grand nombre de gens. Le mal aura deja ete fait.

Dans le 2eme cas, ben moi je vois qu'on trouve des buffer overflows depuis des annees dans wu-ftpd et sendmail, dans Windows, IIS, et plein d'autre softs.
Mon experience et celle de mes collegues qui je te le rappelle ne faisont que ca et rien d'autre(= corriger des bugs) est que trouver des buffer overflows peut etre particulierement complexe, un buffer overflow ca peut rester cache des annees dans un soft sans qu'on s'en apercoive, et cela malgre les softs developpes pour les trouver, les stress tests, les code reviews,...

C'est le cas PARTOUT, monde proprio ou libre, la solution miracle contre les BO dans les progs en C/C++ n'existe pas encore, le jour ou tu arriveras a me PROUVER qu'un soft non-trivial ne contient pas de buffer overflow je te paie le champagne.

Non, ce qui s'est probablement passe(pure speculation mais a mon avis c'est ca) est :

- La boite trouve la faille et l'annonce a la distrib XYZ et les auteurs
- La distrib XYZ informe les autres distrib et se met d'accord avec les autres et les auteurs pour une date de release du patch et une certaine discretion
- chacun reste discret de son cote et corrige le bug
- tout le monde release le patch en meme temps que l'annonce de la faille

Non, si la boite qui trouve la faille ne voit rien apres 30 jours ils peuvent sortir les details, que MS ait sorti le patch ou pas.

Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca foutrait une atmosphere peu agreable je pense.

La pique c'etait de montrer que les distrib vont plus loin que ce que MS preconisait, alors qu'ils s'etaient fait allumer par les supporters du libre pour ca.

MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille

Les distrib ont fait:
- On ne revele rien avant la sortie du patch

Alors bon, si vous arrivez a vivre avec ce que les distrib font, vous pourrez surement vivre avec la methode MS qui est moins obscure, ou sinon, traitez les distrib de tous les noms comme ca c'est passe pour MS.

Les boites genre Redhat, Mandrake,... ont probablement un departement "securite" qui recoit les annonces de failles de securite, ensuite ils les transmettent les uns aux autres.

La boite qui a trouve la faille a une "policy" qui est de ne rien dire pendant un certain temps histoire de laisser le temps aux gens de corriger la faille, il est donc clair qu'ils allaient pas faire l'annonce sur une mailing-list Linux...

Euh oui mais si il y a deux advisory sur securityfocus.com ca devient subitement bien plus credible :+)

bon c'est vrai que j'ai ete incomplet dans la news, mea culpa.

Voici une advisory updatee : http://www.securityfocus.com/archive/1/242750(...)

Dans laquelle il est specifie que :
1) les vendeurs ont ete mis au courant le 14 Novembre( donc 3 semaines avant au lieu de 2, encore une erreur de ma part)
2) Redhat a sorti l'annonce le 27 alors que c'etait prevu le 3 decembre et que de ce fait les autres distrib ont pas eu le temps de corriger la faille
3)un autre site: http://news.cnet.com/news/0-1003-200-8007615.html(...) qui precise que les distruteurs etaient a peu pres tous au courant

J'ai vu ca sur Slashdot et sur un autre site qui etait linuxtoday je crois. Pour les autres distrib je crois me souvenir qu'il y avait Mandrake(pas sur) mais je sais pas pour les autres.

C'est pas le probleme de coordination que je souleve, c'est ce que le probleme de coordination a revele: que les distrib s'entendent entre elles pour cacher les failles jusqu'au moment ou ils ont un patch.

Sinon, je m'interessais aux news sur Linux a l'epoque ou fvwm etait considere comme le top des GUI sur Linux, j'ai pas attendu la vague mediatique Linux pour ca.

Pour ton info, je suis a la base Amigaiste et Unixien, et j'ai probablement encore pour quelques mois plus de connaissances de ces 2 systemes que de Windows...

Mais bon, ca n'a rien a faire la --> -1

Ils se sont excuses pour avoir sorti le patch et l'alerte trop tot.

Au passage, je tiens a rectifier ma propre news, MS ne proposait pas de ne pas annoncer la faille avant la disponibilite du patch, mais uniquement de ne pas annoncer les details(=exploit) de la faille, la faille en elle-meme peut etre annoncee avant.

des centaines ou des milliers

Je sais il est tard et tu as mal lu...

J'ai pas ouvert les yeux sur les avantages des softs open-source, je demontre que la theorie c'est bien beau, et qu'en pratique c'est tres different.

Autre petit exemple:
Je cree un soft totalement open-source, qui utilise des serveurs sur le net que JE dirige pour faire des transferts/communiquer/jouer, bref ce que tu veux tant qu'il y a un serveur a moi et un port ouvert sur ta machine. En gros j'utilises le modele "soft en open-source et je fais de l'argent sur le service" que tout le monde dans le libre encourage.

Je laisse dans le soft(qui est gros et complexe), un certain nombre de buffer overflows bien caches volontairement.

1) ca passe totalement inapercu, dans 99% des cas les gens ne s'en apercoivent que quand ca torche, je sais de quoi je parles car je les chasse a longueur de journee ici et malgre les codes reviews, les softs d'analyse de code, les tests, etc... il y en a toujours qui passent au travers
2) je peux me la jouer "c'est involontaire, c'est un buffer overflow" si quelqu'un en trouve un
3) le source est 100% ouvert donc les gens se mefient pas et vu que le code est gros et complexe il est impossible de faire un audit efficace pour trouver tous les buffer overflows.
4) ils utilisent mon serveur, a travers le buffer overflow j'ai un backdoor sur les machines des utilisateurs, et vu qu'ils savent tres bien que mon soft communique avec le serveur et qu'ils ont les sources, ben ils se mefient pas du trafic sur le reseau, je fais ce que veux avec leur machine

Comme quoi ton soft a beau etre open-source t'as aucune garantie quand au fait qu'il est sur et fiable.

Je vais chez Geocities, je cree une page web et je pose dessus:

- un binaire avec un backdoor qui fait 254'345 octets sous forme de rpm, bref facile a installer

- des sources qui creent avec au moins 1 version de gcc un binaire de 254'345 octets et qui ne contiennent PAS de backdoor

Maintenant, combien de gens vont:
1- regarder le code source
2- le compiler et comparer la taille
3- faire un diff des binaires et comparer
4- analyser le code binaire car ils ne pensent pas que c'est du a un compilo different ou sont tres mefiants et voir qu'il y a une backdoor

Le nombre de gens qui arriveront au niveau 4 est selon moi particulierement faible voir inexistant, bien sur c'est possible, mais la probabilite est tres faible et entre-temps tu as pose un backdoor chez des centaines ou des milliers de gens qui auront pris le rpm pour eviter de s'emmerder.

Distrib ou pas ca n'a rien a voir, le kernel venait de la branche stable, et il a ete release au grand public avec ces gros bugs dedans.
C'est comme quand MS sort un service pack avec une grosse merde dedans, mais eux ils se seraient sacrement fait taper sur la gueule dans le meme cas par les memes personnes qui cherchent des excuses au kernel team.

Quand a la loi sur le nombre de beta-testeurs, ben on est d'accord la-dessus a 100%.

Le truc etant que quand MS fait ca(distribuer les versions beta a 200'000 personnes et ensuite ceux qui participent vraiment recoivent la version finale gratos), il se fait critiquer comme quoi les utilisateurs font le boulot, quand c'est Linux par contre c'est un avantage du systeme, faudrait savoir.

Pour le reste on est a peu pres d'accord, le truc ou on est probablement pas d'accord par contre, c'est l'importance que ces avantages ont pour les utilisateurs(particuliers ou entreprises).

L'open-source ca garantit rien du tout, la preuve en est les couilles qui sont arrivees recemment au kernel Linux.

Que je sache ce qui importe c'est le present et le futur, et personnellement je doutes fort que RMS apporte plus a Gnome dans le futur que cet employe de Compaq, de mon point de vue RMS est meme un boulet pour Gnome.

RMS aurait surement cree des dissensions avec ses manieres et ses points de vues extremes, et je suis pas sur que ce soit tres bon pour le projet.

Ou est-ce que IE ne respecte pas HTML ?
Des tags en plus ? Netscape aussi en a, il y a que MS qui est coupable ? on est les seuls a ne pas avoir le droit de le faire ?

Moi aussi je peux t'ecrire des applis qui fonctionnent sur une JVM et pas sur une autre, et ca sera pas du a MS, ca sera du au fait que la plupart des JVM ont des differences et que la portabilite de Java c'est plus un mythe qu'autre chose. Ici c'est une boite qui a mal developpe son produit et vous arrivez encore a balancer la faute sur MS, a croire qu'il vous faut vraiment un bouc emissaire.

En 1995, il y a presque 7 ans, j'ai commence a utiliser Linux, bon nombre de softs existaient meme si ils n'etaient pas oriente "grand public". Il y a 16 ans DOS existait, il etait pas accessible au grand public non plus, les softs tournent encore pour la plupart sur XP. C'est tout a fait comparable, c'est bien beau d'accepter de comparer les points a l'avantage de Linux et dire que les autres ne sont pas comparables parce que X ou Y, mais la question pour l'utilisateur elle est pas la, est-ce que Linux le fait OUI ou NON ? C'est ca qui interesse l'utilisateur, ensuite les excuses et le pourquoi du comment il s'en tape.
On arrete pas de la rabacher comme quoi open-source= perennite et proprio= tout est foutu dans 5 ans, ben faut croire que c'est pas toujours le cas alors.

Quand aux problemes de compatibilite avec Windows c'est sur que ca existe, il y a des dizaines de milliers de softs, faut etre fou pour croire que le taux de passage est 100%, mais il est bien au dessus de 90%, et cela y compris avec des softs d'un autre OS, car DOS c'est pas le meme OS que NT/2000/XP je te ferais remarquer, DOS dans ces OS c'est une emulation. Prendre quelques cas et en faire une generalite c'est pas tres honnete.

Quand a Office, ben je vois toujours pas pourquoi on devrait generaliser le cas Office au proprietaire en general, a premiere vue tu n'as pas le moindre exemple d'autres softs et tu te genes pas pour autant pour gueuler sur tout le proprietaire.

Je vois que la branche stable du kernel a laisse passer une ou deux fois un gros bug, je dois en conclure qu'ils savent pas developper et tester un kernel(= generalisation) ou je dois en deduire que ca arrive a tout le monde une fois de temps en temps ?

Sinon, a premiere vue t'as reussi a lire ton fichier au format ferme avec un soft non-MS, faut croire que le probleme est pas si grave que ca alors.

Tu veux utiliser le bootloader de XP/2000 pour booter Linux ? tu prends les 512 premiers bytes de ta boot partition linux, tu les mets dans un fichier(dd est ton ami), tu edites boot.ini et c'est fini, rien de bien complique.

Tu veux monter d'autres systemes de fichiers ? c'est tout a fait possible, faut juste ecrire le driver, le DDK est dispo gratuitement, si personne ne le fait c'est pas la faute a MS.

Ben justement, regardes toutes ces dot-com qui proposaient des trucs gratuits sur le net, et regarde ou elles sont maintenant: en faillite.

Andover.Net(ex-proprio de Slashdot et autres sites) n'a jamais fait de benefs.

Yahoo commence a faire payer pour de plus en plus de trucs qui etaient gratuits avant.

Ebay a toujours ete payant, et eux ils s'en sortent tres bien.

Les sites web qui font du gratuit eux essayent de gagner de l'argent avec la pub le plus souvent, et il s'est avere pour la plupart d'entre eux que c'etait pas suffisant comme source de revenus, pour certains ca a suffit mais la majorite s'est ecrase.

Tu parles de qui la ?

Adobe ? Photoshop lit toutes les anciens format de fichiers.

Apple ? MacOS fait tourner > 95% des softs d'il y a plus de 10 ans

Microsoft ? Windows XP fait tourner > 95% des softs d'il y a plus de 10 ans

HP-UX ? Les softs d'il y a plus de 10 ans tournent encore

AIX ? Les softs d'il y a plus de 10 ans tournent encore

...

Va demander a Linux si il fait tourner >95% des softs d'il y a plus de 7 ans sans avoir recours a des magouilles ou du boulot en plus de la part de l'utilisateur.

Les standards ? Quels standards ne sont pas respectes ? Adobe supporte tres bien tous les formats de fichiers "standard". IE contrairement a ce que tu peux penser respecte HTML(sauf bugs), Kerberos est respecte(MS utilise le champ designe pour cela), TCP/IP, IPSEC, XML,... aussi.
Les autres OS respectent la tres grande majorite des standards aussi. Quels standards ne sont donc pas respectes ?

Les formats de fichiers fermes ? ben fait comme si proprietaire!=MS, et dis moi donc avec quels autres formats proprietaires tu as des problemes. Avoir 2-3 cas ca n'en fait pas une generalite, le proprietaire ne se resume pas a MS Office(vu que c'est surement a ca que tu penses).

Oui mais les outils ca pousse pas sur les arbres, il faut quelqu'un pour les creer et les fabriquer. Alors bon, le parasite il te rend bien service quand meme.

Attends la, HP/Dell/IBM et autres OEM c'est pas la meme chose que Rhone-Poulenc qui equipe ses PC et qui veut un support pour ses employes.

L'OS chez HP et autres c'est HYPER important, c'est entre autre ca qui fait vendre leurs machines.
Tu pourrais aller aujourd'hui chez HP et leur offrire un support 24h/24 gratuit pour Linux, ils n'en voudraient pas car pour l'instant leurs machines ne se venderaient pas au grand public avec Linux dessus.

Ces outils ne sont pas plus indispensables que la machine a ecrire il y a 20 ans.

D'autre part, comment est-ce que tu veux que les etats gerent le developpement d'un OS ? un Etat c'est incapable de faire ce genre de choses, ils savent gerer l'existant, pas creer. Et quel etat gererait cela ? les USA ? la France ? bonne chance pour qu'ils s'entendent sur le sujet... Jusqu'a aujourd'hui Linux, MacOS ou Windows etaient les memes dans tous les pays, si les pouvoirs publics de chaque pays prennent les chosees en main ca va etre une catastrophe.

D'autre part l'etat je ne vois pas comment l'etat pourrait empecher les societes de creer un OS, il devrait aussi interdire a Linus de developper Linux alors ? ca empiete sur les libertes individuelles ca. Comment definir les outils de base qui relevent du service public ? quelle methode utiliser pour decider cela ?

Desole mais c'est pas tres realisable.