Un procès coûte cher, il vaut peut-être mieux pour ces sociétés payer MS qu'investir dans un procès.
Possible pour certains… mais :
1) pour Samsung je te dirais que c'est tres tres peu probable vu la quantite astronomique de telephones qu'ils vendent, avec plus de 200 millions d'unites par an.
2) il y a plus que le cout du proces qui entre en compte : accepter cela sans que cela soit valide revient a reconnaitre la validite de ces brevets par exemple, ce qui peut avoir un impact sur les developpements futurs, etc…
Apple demande bien plus cher que MS si on suit les dernières estimations que j'ai vues, du coup, le procès devient plus intéressant.
C'est surtout que de ce que j'ai compris, Apple n'a jamais ete interesse par l'approche 'soft', le but de Jobs etait 'themonuclear war on Android' comme il disait…
J'adorerais que tu me montres quelle amende MS devait par la loi payer et n'a pas encore paye.
Indice : Si MS a fait appel d'un jugement et que l'amende est susupendue entre temps, cela ne compte pas, car c'est tout a fait legal.
Pour le reste, Dell c'est une boite US, tout comme B&N, tout comme General Dynamics, etc… Le president va choisir qui la ? Tu va nous faire rire et nous dire que Obama est un fan de Windows ?
ZTE, FoxConn, Samsung, Sharp, Nikon, etc… n'ont pas les moyens d'un proces tu crois ?
Samsung a clairement decide d'aller au proces avec Apple, visiblement c'est pas un probleme pour eux.
Quand a ce sur quoi portent les brevets, un jour faudra comprendre qu'un brevet ce n'est pas un element, c'est comment l'element est implemente.
Ce qui ne veut pas dire que tous les brevets ont une valeur on en convient, mais les tribunaux US ont frequemment jete a la poubelle des brevets qui etaient sans valeur, et ZTE/Samsung/… le savent tres bien, si ils pensaient pouvoir eliminer ces brevets plutot que payer, il est evident qu'ils ont les moyens d'aller au proces pour le faire.
Reste a vous demander pourquoi ils ne l'ont pas fait…
Ensuite, l'opinion sur le systeme de brevets lui-meme, on sait tous que plein de gens ici veulent s'en debarasser, mais ca ne change rien a la legalite du systeme aux USA depuis des annees. Si vous trouvez scandaleux que MS ait viole la loi il y a 15 ans, faut pas subitement se mettre a accepter que d'autres boites violent la loi quand ca vous arrange.
Les lois sont la pour etre respectees, et on ne peut pas choisir quelles lois respecter et quelles lois violer selon son humeur du jour.
We saw the letter to the ITC from Barnes & Noble, and the slide presentation to the US Department of Justice, attached as Exhibit C to the letter to the ITC, and both have been covered widely in the media. But now I'll show you the other exhibits, Exhibits A, B, D, E and F, so you can get the full picture of what Barnes & Noble is accusing Microsoft of doing.
Barnes & Noble's primary line of defense against Microsoft's allegations of patent infringement by the bookseller's Android-based devices has collapsed in its entirety. An Administrative Law Judge at the ITC today granted a Microsoft motion to dismiss, even ahead of the evidentiary trial that will start next Monday (February 6), Barnes & Noble's "patent misuse" defense against Microsoft.
Ah ben mince alors… le tribunal est alle totalement du cote de MS, pas B&N, et l'a fait d'une maniere qui laisse bien comprendre que les arguments de B&N n'avaient aucune valeur.
j'aurai bien voulu que Microsoft précise quelles parties du code de Linux violeraient les brevets détenus par Microsoft.
Quel rapport avec l'ouverture des sources de MS-DOS ?
Je ne comprends pas pourquoi Google n'exige pas ces précisions de la part de Microsoft. Peut être que Google le fera un jour, et pourra alors réclamer toutes les sommes induement versées…?
Ou peut-etre que toutes ces boites enormes qui ont accepte de payer (Samsung, Dell, TomTom, etc…) ne sont pas stupides, ni appeurees a l'idee d'un proces vu leur taille mais ont bien evidemment demande a leurs avocats de verifier de A a Z avant de payer et se sont resolues a payer au vu du resultat ?
Faut quand meme reflechir 2 secondes. Samsung, LG, Dell, HTC, General Dynamics, Acer, Viewsonic, Pegatron, Sharp, Nikon, FoxConn, ZTE, …
ca en fait des boites plutot grosses, ayant largement les moyens d'un gros proces et largement les moyens de payer tous les avocats experts du domaine, qui ont choisi de payer…
Faudrait se demander si elles sont toutes stupides, ou si elles ont bien recherche le probleme, evidemment demande a MS de prouver ses dires avant de payer, et decide que c'etait la meilleur decision a prendre.
Elle sert a quoi exactement cette liste alors ? Recenser tous les developpeurs francais dans des boites significatives ? Il en manque facilement 200 qui bossent chez Google et MS la tout de suite…
Il y a sur cette liste des gens qui n'ont rien fait de formidable, ils bossent dans une boite connue et sur un projet connu et ils sont francais, c'est tout. Si eux y sont, pourquoi par les autres ? Je connais plein de Francais qui bossent sur Word, Excel, Windows, XBox, … et qui ne sont pas sur cette liste, idem chez Google et c'est certainement pareil dans les autres grosses boites.
C'est bien pour ca que j'ai dit que l'auteur a certainement fait une recherche sur Google et regarde sur Twitter / Facebook, parce que visiblement il n'y a aucune logique pour justifier tel nom plutot que tel nom dans nombre de cas.
A voir la liste, les noms qui y sont et ceux qui n'y sont pas, j'ai l'impression que l'auteur a regarde sa liste d'amis Facebook et Twitter, fais quelque recherches sur Google et a sorti sa liste du chapeau.
Oui il y a des gens tres tres bons sur cette liste, mais il y en a aussi d'autres qui n'ont pas grand chose a y faire, surtout compare a d'autres qui auraient du y etre et qui n'y sont pas, comme Philippe Kahn ou Jean Louis Gassee.
Non non, je te garantis que tu gagnes enormement plus aux US, meme en comptant l'education (la sante, la boite te paye l'assurance dans 99% des cas).
Si tu me trouves un boulot a plus de 200'000$ par an en France pour un developpeur (senior genre 10-15 ans d'experience) tu m'avertis, ici il y en a a la pelle, tu gagnes facilement plus quand tu vis sur la cote ouest ou est, un peu moins au centre du pays.
Tu enleves 30'000 par an parce que voila, enfants, education toussa, ca te laisse 170'000, evidemment les impots sont moins eleves aux US, compares ca avec la France apres…
C'est simple, il y a combien d'OS qui regatent dans la meme categorie ?
Scale du telephone au datacenter a la console de jeu
Largement utilisable en desktop par tout un chacun et en serveur par des gens sans trop de qualifs
Performance qui tiennent la comparaison (soit un peu en dessus soit un peu en dessous selon les elements) avec la concurrence sur tous les forms factors
Un nombre enorme de features (hyperviseur, active directory, browser web, serveur dns, fichiers, etc…)
Trouves moi une societe sur la planete qui a un projet software unifie de cette complexite et de cette taille avec un succes pareil…
Les clusters, tu m'expliqueras en quoi ca demontre quoi que ce soit niveau performance de l'OS, ces systemes ne sont pas un OS qui gere toutes les machines, ce sont des amas de machines avec un OS independant chacunes.
Son recrutement par Microsoft Research n'a rien d'ironique, c'est un centre de recherche dont les employés ne sont pas en lien direct avec le développement de Windows ou d'autres produits MS.
Lui je sais pas, d'autres sont les pieds dedans dans divers parties de divers produits.
Mais cela ne changerait rien a leur reputation, car quand on compare au reste de l'industrie, une equipe et un produit comme Windows c'est le haut de gamme quoi qu'en disent certains ici qui n'ont pas compris grand chose au developpement informatique.
je ne suis pas expert en sécu, mais je sais quand-même deux ou trois choses, genre never trust user.
Pas compris, ca veut dire quoi 'never trust user' ?
Quand t'as une appli avec des trous plus gros que celui de ton nombril, et que l'éditeur ne fait rien, t'as beau les annoncer publiquement, rien ne se passe ;)
C'est la faute à Oracle ou Adobe, qui tarde à oublier un patch…
Adobe a tendance a etre plutot rapide, Oracle pas trop. Mais de nouveau, tu me donnes un scenario ou il serait preferable de livrer le 0-day au monde entier plutot que donner une chance a l'editeur ?
Allez, moi j'ai deja donne 2 exemples ou un clown a non seulement mis en danger, mais carremment cause des attaques sur des dizaines de milliers de personnes qui ne pouvaient pas se defendre en lachant un zero-day sans que l'editeur ait eu le temps d'essayer de faire un patch meme. Si full-disclosure c'est si bien, tu vas bien arriver a nous donner des exemples ou cela est tout benef non ?
Le responsible disclosure n'a aucun sens, ce n'est pas le rôle d'un hacker de se soucier de la pertinence de sa trouvaille, sinon on n'aurait jamais eu de bombe H, la terre serait encore ronde, et on n'aurait pas de lobbies.
Si c'est le role du hacker d'etre une personne responsable. C'est d'ailleurs ce que la plupart d'entre eux font(cf. les liens que j'ai donne plus haut, compare au nombre de 0-days publies, la difference est gigantesque), c'est evidemment ce que les editeurs de softs veulent, et c'est aussi ce que la plupart des entreprises veulent aussi.
Tout simplement parce que les gens ne peuvent pas dans l'enorme majorite de cas se proteger tout seul, ni se tenir au courant facilement quand un zero-day est publie. Resultat, publier un 0-day met enormement de gens en danger, et en pratique a souvent fini en attaques sur des dizaines de milliers de gens qui n'auraient pas ete attaque autrement.
Bref, les seuls qui sont contre responsible disclosure sont ces petits frustres et rebelles boutonneux qui n'ont pas compris grand chose et les scammers/spammers qui profitent des 0-days pour se constituer des botnets, et piquer les numeros de cartes de credits des gens.
Les solutions de contrôle de logs, de versions applicatives, de hotfixes/patches, vulnérabilités etc … sont restés dans les laboratoires. Aucune entreprise commerciale n'a encore eu l'idée de commercialiser des solutions de ce genre. Oui c'est vrai, cela coute de l'argent, mais il faut savoir ce que l'on veut.
Rien de cela ne fonctionnera pour le grand public. Cela a un taux de faux positifs bien trop eleve. Meme en entreprise cela a un cout non negligeable de devoir aller verifier telle et telle alerte, alors le pekin moyen qui n'y connait rien, aucune chance. Le controle de version et de hotfix/patch, ben ca ne va rien faire contre un 0-day par definition hein…
Ca je suis tout a fait d'accord, et c'est d'ailleurs ce que responsible disclosure dit : donner un temps decent a l'editeur pour sortir un patch, et ensuite alerter le public.
Bah, tu sais, les problèmes de sécurité pour lesquels l'éditeur fait la sourde oreille pendant des mois, voir ne réponds jamais, ce ne sont pas des cas isolés.
Ben justement si, ce sont des cas isoles. Mais t'es le bienvenu pour m'expliquer l'industrie de la securite software hein, j'ai juste passe les 10 dernieres annees dedans…
Donc tu restes avec des trous potentiellement exploités pendant des années, et tu sers des fesses pour que cela ne te tombe pas dessus, et qu'il n'y en ai pas trop que d'autres aient découverts mais pour lesquels tu ne connais pas l'existence.
T'es drole. Si tu les annonces a l'editeur et qu'il ne fait rien, t'es libre de les annoncer publiquement hein, t'es pas soudainement devenu muet.
Quant à l'informatique grand public, ben, il me semble que le marché offre pas mal de solution de sécurité et donc tu délègues moyennant finances cette tâche à un tiers dont c'est le métier. Ensuite, si tu veux "baiser" sans capote, il faut savoir qu'il y a un risque et être prêt à l'accepter.
Explication typique de qq'un qui au fond ne connait rien a la securite informatique.
Un anti-virus ne te protegera jamais d'un 0-day, c'est pas concu pour. Un firewall ne va pas te proteger d'une faille dans ton browser. La sandbox de ton browser ne va pas te proteger d'un 0-day dans ton compositeur graphique, etc…
Vaut il mieux qu'un problème soit restreint à un cercle de personnes qui pourront l'exploiter pendant des mois ou bien vaut il mieux que le problème soit connu afin que :
J'ai donne des exemples CONCRETS, cas REELS ou full-disclosure a cause des attaques sur une large population, toi tu me sors des theories fumeuses.
La realite est qu'alerter l'editeur d'abord est la meilleur chose a faire, et si il ne repond pas dans un temps decent, alors alerter le public.
De la même manière que si elle n'était pas annoncée: Ils peuvent pas. Ou alors si, ils peuvent: il n'ont qu'a pas utiliser un système troué par la pluie.
Dans le monde reel :
Une faille non annoncee, il n'y a que ceux qui la connaissent qui peuvent l'utiliser pour attaquer.
Le moment ou la faille est rendu publique sans alerter l'editeur d'abord, tout le monde peut la prendre et attaquer, ce qui augmente largement le nombre de victimes. Et l'annonce ne permet qu'a tres, tres, tres peu de gens de se proteger.
C'est EXACTEMENT ce qui s'est passe avec le 0-day poste en 2010 sur full-disclosure par Tavis Ormandy que la news mentionne. J'en sais quelque chose, j'etais de l'autre cote a voir les degats de sa connerie, et il l'a refait en 2013 toujours avec le meme resultat pourri.
C'est encore pire si la vulnérabilité n'est pas annoncée, puisque même toi tu ne peux pas les protéger. Celui qui annonce la faille n'est pas forcement le premier à l'avoir découverte.
Si il l'annoncait a l'editeur et lui donnait une chance de corriger le probleme, il eviterait que bcp plus de gens puissent attaquer une population qui n'a pas les moyens de se proteger seule de toute facon.
Moi je préfère que les adolescents boutonneux et les petits frustrés fasse du full disclosure plutôt qu'ils s'amusent à garder ça pour eux ou à vendre ça à des gens moins sympa. Parce que si tu crois qu'ils sont assez cons pour aller contacter les auteurs tu te fourre le doigt dans l'œil. Tout le monde à retenu la leçon de Serge Humpich, même les non-informaticiens.
L'enorme majorite fait justement l'inverse de ce que tu dis, ils les annoncent de maniere responsable :
Et la tienne on va appeler ca "vision idealiste sans aucune experience du domaine"
Le jour ou quelqu'un annonce une vulnerabilite et qu'un patch n'est pas pret. Ta grand-mere, ta tante, ta fille adolescente, ton grand-pere, etc… ils se protegent comment ?
Ah oui, ils n'en ont aucune idee, ils ne peuvent rien faire, ils ne seront meme probablement pas au courant qu'ils sont en danger.
Le full-disclosure c'est un truc pour les adolescents boutonneux qui ne connaissent pas grand chose au monde reel et pour les petits frustres qui se croient rebelles, c'est a peu pres tout, aucune valeur pour la population en general.
Wow, quel gain de productivité. Et si je change mon fichier source, il faut qu'à chaque fois je refasse mon copier/coller ? Comment faire pour le garder synchronisé ? Et si j'ai plusieurs fichiers source à inclure ?
Je te l'accorde, c'est un scenario ou Latex est meilleur.
Maintenant, si on parlait des scenarios qui sont importants pour 95% de la population ?
Je connais en effet peu le hardware spécifique à la téléphonie, cependant j'estime que si les limites doivent être fixées par le software, c'est que la puce est mal conçue.
Non, c'est simplement qu'une decision a ete prise consciemment, car par exemple cela couterait moins cher d'implementer cela en soft qu'en hard.
Si une instruction d'un composant électronique provoque sa destruction avec certains arguments, c'est que la puce est boguée. C'est donc à mes yeux la responsabilité du constructeur.
Tu connais bien mal le hardware pour dire ca. Il y a plein de cas ou certaines limites sont verifiees par le software plutot que le hardware et c'est la combinaison des 2 qui est vendue.
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -1.
Possible pour certains… mais :
1) pour Samsung je te dirais que c'est tres tres peu probable vu la quantite astronomique de telephones qu'ils vendent, avec plus de 200 millions d'unites par an.
2) il y a plus que le cout du proces qui entre en compte : accepter cela sans que cela soit valide revient a reconnaitre la validite de ces brevets par exemple, ce qui peut avoir un impact sur les developpements futurs, etc…
C'est surtout que de ce que j'ai compris, Apple n'a jamais ete interesse par l'approche 'soft', le but de Jobs etait 'themonuclear war on Android' comme il disait…
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à 1.
J'adorerais que tu me montres quelle amende MS devait par la loi payer et n'a pas encore paye.
Indice : Si MS a fait appel d'un jugement et que l'amende est susupendue entre temps, cela ne compte pas, car c'est tout a fait legal.
Pour le reste, Dell c'est une boite US, tout comme B&N, tout comme General Dynamics, etc… Le president va choisir qui la ? Tu va nous faire rire et nous dire que Obama est un fan de Windows ?
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -2.
Budget infini ?
ZTE, FoxConn, Samsung, Sharp, Nikon, etc… n'ont pas les moyens d'un proces tu crois ?
Samsung a clairement decide d'aller au proces avec Apple, visiblement c'est pas un probleme pour eux.
Quand a ce sur quoi portent les brevets, un jour faudra comprendre qu'un brevet ce n'est pas un element, c'est comment l'element est implemente.
Ce qui ne veut pas dire que tous les brevets ont une valeur on en convient, mais les tribunaux US ont frequemment jete a la poubelle des brevets qui etaient sans valeur, et ZTE/Samsung/… le savent tres bien, si ils pensaient pouvoir eliminer ces brevets plutot que payer, il est evident qu'ils ont les moyens d'aller au proces pour le faire.
Reste a vous demander pourquoi ils ne l'ont pas fait…
Ensuite, l'opinion sur le systeme de brevets lui-meme, on sait tous que plein de gens ici veulent s'en debarasser, mais ca ne change rien a la legalite du systeme aux USA depuis des annees. Si vous trouvez scandaleux que MS ait viole la loi il y a 15 ans, faut pas subitement se mettre a accepter que d'autres boites violent la loi quand ca vous arrange.
Les lois sont la pour etre respectees, et on ne peut pas choisir quelles lois respecter et quelles lois violer selon son humeur du jour.
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -3.
Ils n'ont pas craque financierement, leur defense s'est ecroulee devant le juge comme le lien que j'ai donne le dit clairement, aussi simple que cela.
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -3.
Ah oui evidemment, la justice est corrumpue….
Attends, je reutilises ton argument : Microsoft n'etait pas coupable de violation anti-trust, c'est Netscape et Sun qui avaient corrumpu les juges !
Marrant, ca marche dans les 2 sens.
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -1.
Merci pour le lien !
Ca dit tout.
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -6.
Voyons voir ton lien…
Allons donc voir ce qui est arrive a l'ITC…
http://www.fosspatents.com/2012/01/itc-throws-out-barnes-nobles-antitrust.html
Ah ben mince alors… le tribunal est alle totalement du cote de MS, pas B&N, et l'a fait d'une maniere qui laisse bien comprendre que les arguments de B&N n'avaient aucune valeur.
[^] # Re: Et celles concernant la prétendue reprise dans Linux?
Posté par pasBill pasGates . En réponse au journal Show us the code! Les sources de Microsoft Word enfin dispo !. Évalué à -5.
Quel rapport avec l'ouverture des sources de MS-DOS ?
Ou peut-etre que toutes ces boites enormes qui ont accepte de payer (Samsung, Dell, TomTom, etc…) ne sont pas stupides, ni appeurees a l'idee d'un proces vu leur taille mais ont bien evidemment demande a leurs avocats de verifier de A a Z avant de payer et se sont resolues a payer au vu du resultat ?
Faut quand meme reflechir 2 secondes. Samsung, LG, Dell, HTC, General Dynamics, Acer, Viewsonic, Pegatron, Sharp, Nikon, FoxConn, ZTE, …
ca en fait des boites plutot grosses, ayant largement les moyens d'un gros proces et largement les moyens de payer tous les avocats experts du domaine, qui ont choisi de payer…
Faudrait se demander si elles sont toutes stupides, ou si elles ont bien recherche le probleme, evidemment demande a MS de prouver ses dires avant de payer, et decide que c'etait la meilleur decision a prendre.
[^] # Re: Bof
Posté par pasBill pasGates . En réponse à la dépêche 100 développeurs : la part belle à l’Open Source. Évalué à 2.
Elle sert a quoi exactement cette liste alors ? Recenser tous les developpeurs francais dans des boites significatives ? Il en manque facilement 200 qui bossent chez Google et MS la tout de suite…
Il y a sur cette liste des gens qui n'ont rien fait de formidable, ils bossent dans une boite connue et sur un projet connu et ils sont francais, c'est tout. Si eux y sont, pourquoi par les autres ? Je connais plein de Francais qui bossent sur Word, Excel, Windows, XBox, … et qui ne sont pas sur cette liste, idem chez Google et c'est certainement pareil dans les autres grosses boites.
C'est bien pour ca que j'ai dit que l'auteur a certainement fait une recherche sur Google et regarde sur Twitter / Facebook, parce que visiblement il n'y a aucune logique pour justifier tel nom plutot que tel nom dans nombre de cas.
# Bof
Posté par pasBill pasGates . En réponse à la dépêche 100 développeurs : la part belle à l’Open Source. Évalué à 4.
A voir la liste, les noms qui y sont et ceux qui n'y sont pas, j'ai l'impression que l'auteur a regarde sa liste d'amis Facebook et Twitter, fais quelque recherches sur Google et a sorti sa liste du chapeau.
Oui il y a des gens tres tres bons sur cette liste, mais il y en a aussi d'autres qui n'ont pas grand chose a y faire, surtout compare a d'autres qui auraient du y etre et qui n'y sont pas, comme Philippe Kahn ou Jean Louis Gassee.
Bref, un peu inutile et gachis a mon sens.
[^] # Re: oh bah heu... merci :)
Posté par pasBill pasGates . En réponse à la dépêche 100 développeurs : la part belle à l’Open Source. Évalué à 5.
Non non, je te garantis que tu gagnes enormement plus aux US, meme en comptant l'education (la sante, la boite te paye l'assurance dans 99% des cas).
Si tu me trouves un boulot a plus de 200'000$ par an en France pour un developpeur (senior genre 10-15 ans d'experience) tu m'avertis, ici il y en a a la pelle, tu gagnes facilement plus quand tu vis sur la cote ouest ou est, un peu moins au centre du pays.
Tu enleves 30'000 par an parce que voila, enfants, education toussa, ca te laisse 170'000, evidemment les impots sont moins eleves aux US, compares ca avec la France apres…
[^] # Re: un grand contributeur à l'algorithmique répartie
Posté par pasBill pasGates . En réponse au journal Et le prix Turing revient à .... Évalué à -3.
Les qualites ?
C'est simple, il y a combien d'OS qui regatent dans la meme categorie ?
Trouves moi une societe sur la planete qui a un projet software unifie de cette complexite et de cette taille avec un succes pareil…
Les clusters, tu m'expliqueras en quoi ca demontre quoi que ce soit niveau performance de l'OS, ces systemes ne sont pas un OS qui gere toutes les machines, ce sont des amas de machines avec un OS independant chacunes.
[^] # Re: un grand contributeur à l'algorithmique répartie
Posté par pasBill pasGates . En réponse au journal Et le prix Turing revient à .... Évalué à -1.
Lui je sais pas, d'autres sont les pieds dedans dans divers parties de divers produits.
Mais cela ne changerait rien a leur reputation, car quand on compare au reste de l'industrie, une equipe et un produit comme Windows c'est le haut de gamme quoi qu'en disent certains ici qui n'ont pas compris grand chose au developpement informatique.
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 3.
Pas compris, ca veut dire quoi 'never trust user' ?
Adobe a tendance a etre plutot rapide, Oracle pas trop. Mais de nouveau, tu me donnes un scenario ou il serait preferable de livrer le 0-day au monde entier plutot que donner une chance a l'editeur ?
Allez, moi j'ai deja donne 2 exemples ou un clown a non seulement mis en danger, mais carremment cause des attaques sur des dizaines de milliers de personnes qui ne pouvaient pas se defendre en lachant un zero-day sans que l'editeur ait eu le temps d'essayer de faire un patch meme. Si full-disclosure c'est si bien, tu vas bien arriver a nous donner des exemples ou cela est tout benef non ?
Si c'est le role du hacker d'etre une personne responsable. C'est d'ailleurs ce que la plupart d'entre eux font(cf. les liens que j'ai donne plus haut, compare au nombre de 0-days publies, la difference est gigantesque), c'est evidemment ce que les editeurs de softs veulent, et c'est aussi ce que la plupart des entreprises veulent aussi.
Tout simplement parce que les gens ne peuvent pas dans l'enorme majorite de cas se proteger tout seul, ni se tenir au courant facilement quand un zero-day est publie. Resultat, publier un 0-day met enormement de gens en danger, et en pratique a souvent fini en attaques sur des dizaines de milliers de gens qui n'auraient pas ete attaque autrement.
Bref, les seuls qui sont contre responsible disclosure sont ces petits frustres et rebelles boutonneux qui n'ont pas compris grand chose et les scammers/spammers qui profitent des 0-days pour se constituer des botnets, et piquer les numeros de cartes de credits des gens.
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 2.
Rien de cela ne fonctionnera pour le grand public. Cela a un taux de faux positifs bien trop eleve. Meme en entreprise cela a un cout non negligeable de devoir aller verifier telle et telle alerte, alors le pekin moyen qui n'y connait rien, aucune chance. Le controle de version et de hotfix/patch, ben ca ne va rien faire contre un 0-day par definition hein…
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 5.
Ca je suis tout a fait d'accord, et c'est d'ailleurs ce que responsible disclosure dit : donner un temps decent a l'editeur pour sortir un patch, et ensuite alerter le public.
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 1.
Ben justement si, ce sont des cas isoles. Mais t'es le bienvenu pour m'expliquer l'industrie de la securite software hein, j'ai juste passe les 10 dernieres annees dedans…
T'es drole. Si tu les annonces a l'editeur et qu'il ne fait rien, t'es libre de les annoncer publiquement hein, t'es pas soudainement devenu muet.
Explication typique de qq'un qui au fond ne connait rien a la securite informatique.
Un anti-virus ne te protegera jamais d'un 0-day, c'est pas concu pour. Un firewall ne va pas te proteger d'une faille dans ton browser. La sandbox de ton browser ne va pas te proteger d'un 0-day dans ton compositeur graphique, etc…
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 5.
J'ai donne des exemples CONCRETS, cas REELS ou full-disclosure a cause des attaques sur une large population, toi tu me sors des theories fumeuses.
La realite est qu'alerter l'editeur d'abord est la meilleur chose a faire, et si il ne repond pas dans un temps decent, alors alerter le public.
Ca s'appelle responsible disclosure.
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 2.
Dans le monde reel :
Une faille non annoncee, il n'y a que ceux qui la connaissent qui peuvent l'utiliser pour attaquer.
Le moment ou la faille est rendu publique sans alerter l'editeur d'abord, tout le monde peut la prendre et attaquer, ce qui augmente largement le nombre de victimes. Et l'annonce ne permet qu'a tres, tres, tres peu de gens de se proteger.
C'est EXACTEMENT ce qui s'est passe avec le 0-day poste en 2010 sur full-disclosure par Tavis Ormandy que la news mentionne. J'en sais quelque chose, j'etais de l'autre cote a voir les degats de sa connerie, et il l'a refait en 2013 toujours avec le meme resultat pourri.
Si il l'annoncait a l'editeur et lui donnait une chance de corriger le probleme, il eviterait que bcp plus de gens puissent attaquer une population qui n'a pas les moyens de se proteger seule de toute facon.
L'enorme majorite fait justement l'inverse de ce que tu dis, ils les annoncent de maniere responsable :
http://technet.microsoft.com/en-us/security/cc308589.aspx
https://www.google.com/about/appsecurity/hall-of-fame/reward/
https://www.facebook.com/whitehat/thanks/
etc…
[^] # Re: Transparence = Sécurité
Posté par pasBill pasGates . En réponse à la dépêche Full disclosure, c'est fini. Évalué à 2.
Vision "ultra court termiste" ?
Et la tienne on va appeler ca "vision idealiste sans aucune experience du domaine"
Le jour ou quelqu'un annonce une vulnerabilite et qu'un patch n'est pas pret. Ta grand-mere, ta tante, ta fille adolescente, ton grand-pere, etc… ils se protegent comment ?
Ah oui, ils n'en ont aucune idee, ils ne peuvent rien faire, ils ne seront meme probablement pas au courant qu'ils sont en danger.
Le full-disclosure c'est un truc pour les adolescents boutonneux qui ne connaissent pas grand chose au monde reel et pour les petits frustres qui se croient rebelles, c'est a peu pres tout, aucune valeur pour la population en general.
[^] # Re: Vive le vendredi...
Posté par pasBill pasGates . En réponse au journal Et si Microsoft portait Office sous Linux ?. Évalué à 2.
Je te l'accorde, c'est un scenario ou Latex est meilleur.
Maintenant, si on parlait des scenarios qui sont importants pour 95% de la population ?
[^] # Re: Revenez aux fondamentaux
Posté par pasBill pasGates . En réponse au journal Porte dérobée sur Samsung Galaxy - Projet Replicant. Évalué à 0.
Non, c'est simplement qu'une decision a ete prise consciemment, car par exemple cela couterait moins cher d'implementer cela en soft qu'en hard.
[^] # Re: Revenez aux fondamentaux
Posté par pasBill pasGates . En réponse au journal Porte dérobée sur Samsung Galaxy - Projet Replicant. Évalué à 1.
Un logiciel sans bug existe.
Un logiciel non-trivial sans bug, c'est impossible a prouver, ca veut pas dire que ca n'existe pas.
[^] # Re: Vive le vendredi...
Posté par pasBill pasGates . En réponse au journal Et si Microsoft portait Office sous Linux ?. Évalué à 2.
Tout a fait, mais la question est : combien ces gens la representent en terme de marche.
Et au vu du pourcentage de Linux qui apparaissent dans les stats, il est clair que c'est quasiment rien.
[^] # Re: Revenez aux fondamentaux
Posté par pasBill pasGates . En réponse au journal Porte dérobée sur Samsung Galaxy - Projet Replicant. Évalué à 2.
Tu connais bien mal le hardware pour dire ca. Il y a plein de cas ou certaines limites sont verifiees par le software plutot que le hardware et c'est la combinaison des 2 qui est vendue.