Explications techniques? Faut il détailler les différents moyens utilisés ces 5 dernières années pour accéder à la base de registre, modifier des fichiers système, infecter des drivers, le MBR, etc… sans que l'utilisateur n'ai eu a faire autre chose que de surfer.
Oui j'aimerais bien que tu me detailles comment un soft tournant sous un compte non-admin peut faire ca. Et ne me sort pas que tous les comptes sont admin, ca fait un bon moment maintenant que les comptes meme admins utilisent un token restreint et il faut passer par UAC pour elever a full-admin, l'equivalent de sudo.
Voila pour quelques winner, toujours en vente et qui n'ont pas fini de poser problèmes.
Et tu veux que MS ou Windows fasse quoi quand des clowns bloquent les updates et remplacent les dlls du systeme ? L'admin est seul maitre a bord, tout comme sous Linux, si il decide de se tirer dans le pied (ou laisse un de ses contractants lui tirer dans le pied comme dans ce cas), c'est clairement pas la faute du systeme.
Le systeme lui-meme ne souffre d'aucun de ces problemes. Si t'as un editeur qui fait des trucs crades, va lui crier dessus. Tu n'aurais pas idee de gueuler sur Linux si Oracle(ou autre) t'installes de force une libc maison sur le systeme quand meme ?
De mon point de vue un système sécurisé ne permettrait pas le centième des possibilités de modification du système avec lesquels jouent les virus une fois installés.
Ah oui ? Donnes moi donc un exemple de modif realisable sous Windows et pas sous Linux
On notera également que pour un programme téléchargé par un utilisateur, il est beaucoup moins facile sous linux de modifier le système.
De nouveau, donne mois la difference. Je veux l'explication technique donc.
A cela s'ajoute la politique des éditeurs et de Microsoft, je ne sais combien de grand éditeurs qui ont des logiciels nécessitant tout ou partie de la liste suivante :
Ben justement, tu nous donnes des exemples de logiciels un tant soit peu importants qui rentrent dans ces categories ?
Je suis sur que tu vas nous trouver des softs d'il y a 10 ans, ou un truc pourri ecrit par 3 pekins, mais je parles de vrais softs, que bcp de gens utilisent.
OK, résumons donc : toute étude, tout expert qui ne conclut pas que Windows et les produits Microsoft sont sûrs est débile.
Comme ça, c'est plus simple.
Vraiment, tu es tellement obsede par l'idee que je ne pousse que MS / Windows que tu ne fais meme pas attention a ce que je dis. Ca te tenterait de lire un peu en profondeur plutot que sauter sur ton clavier des la 1ere seconde ?
On va prendre la methode du clown qui a poste l'article sur le site omgubuntu et l'appliquer correctement (= donner a chaque OS 1 point si il n'y a pas de commentaire negatif sur une section)
Tu regardes les 12 sections, il y a des commentaires negatifs sur 3 sections :
- VPN pas certifie
- encryption disque pas certifiee
- pas de secure boot
Si tu lis les commentaires plutot qu'aveuglement compter sans lire les commentaires, tu te rends compte que pour Windows 8, il n'y a de commentaires negatifs que sur 2 sections :
- Bitlocker pas certifie
- L'entreprise ne peut pas forcer d'update des apps du Metro store (ca me surprendre mais bon qui sait)
Le reste concerne Windows 7, et le clown qui a poste l'article n'a clairement pas meme fait l'effort de lire, et s'est contente de compter les sections sans aucun commentaire.
Resultat, selon cette methode, Windows 8 est meilleur qu'Ubuntu(et Windows 7 est equivalent avec 9 points), et pourtant je dis que c'est une comparaison stupide et sans aucun sens
Bref, fais un minimum d'effort pour lire ce que les gens ecrivent plutot que sauter sur ton cheval des le 1ere paragraphe. Je suis en train de dire qu'une methode qui montre Windows sous un meilleur jour qu'Ubuntu est stupide, mais dans ton excitation et obsession tu n'es meme pas foutu de lire ce que j'ecris.
Maintenant tu fais un pas de plus, tu vas sur le site de GCHQ, et tu regardes ces 12 sections. Tu me montres en quoi ces sections sont des "bon / pas bons" ou autre evaluation comparative.
Le clown qui a poste ca sur le site omgubuntu.co.uk n'a clairement rien compris a ce qu'il a lu sur le site de GCHQ.
Mais vu que c'est une maniere totalement debile de juger un systeme, ca n'a vraiment aucun sens. Et c'est bien pour ca que GCHQ n'a jamais mis cela comme un moyen de comparaison entre systemes, mais simplement une recommendation pour l'usage de ces systemes individuellement.
Non ce n'est pas vrai : lalibre.be, lesoir.be dhnet.be…. Utilisent PHP avec Symphony2
C'est sympa ta liste… Moi je peux probablement te faire une liste de sites qui viennent d'etre ecrit en Perl ou en C si je cherches bien.
J'ai pas dit que PHP a disparu, j'ai dit qu'il commence a etre evite a cause de ses problemes de securite. Il ne va evidemment pas disparaitre en 3 jours hein.
Le problème avec le PHP est le même qu'avec le C : on peut faire beaucoup de choses même des trous de sécurité
T'as tout dit la, et c'est bien le probleme. PHP a des parametres par defaut qui sont dangereux, que la plupart des developpeurs ratent sans parler du reste.
D'autres frameworks n'ont pas ces problemes. Tout comme plein de gens se sont mis a C# et Java plutot que C car au final, c'etait plus sur et plus simple.
Et oui, IE8… avec ActiveX. Mais evidemment, si tu prends ActiveX sans meme comprendre comment son integration a changer dans IE8 c'est normal.
Tout comme il est normal que tu aies une vision de la realite deformee si tu te bases sur une page wikipedia pour te faire une opinion de la securite d'un browser, ou si tu te contentes de lire ce qui passe sur slashdot ou linuxfr.
Il y a des pontes de l'industrie de la securite, des gens qui sont experts dans le domaine, qui disent quasiment tous la meme chose, faudrait penser a mettre ca dans la balance et accepter de revoir ses prejuges.
Perso quand d'un cote j'ai Didier Deschamps, Laurent Blanc et Luis Fernandes qui choisissent une tactique, et de l'autre j'ai Pierre Menes et Thierry Roland qui font des vannes dessus, ben mon camp est vite choisi hein…
Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?
Windows 7 is slightly more difficult because it has full ASLR (address space layout randomization) and a smaller attack surface (for example, no Java or Flash by default). Windows used to be much harder because it had full ASLR and DEP (data execution prevention). But recently, a talk at Black Hat DC showed how to get around these protections in a browser in Windows.
In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?
No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The organizers don’t choose to use Linux because not that many people use it on the desktop. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.
…
In your opinion, which is the safer combination OS+browser to use?
That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!
Ma source est d'anciens collegues et personnes de l'industrie que j'ai rencontre et revois de temps en temps autour d'une biere, rien d'officiel sur une page web que je sache car ce sont des decisions d'entreprise internes.
Je ne connais pas HipHop et HHMV assez pour savoir leur impact en terme de securite. De ce que j'en ai lu, non car ils s'occupent principalement de performance et de la maniere dont le code PHP est execute plutot que de nettoyage de ce que PHP permet de faire. Vu les ressources que Facebook a investi j'imagines qu'ils se sont assure que leur version interne de PHP a elimine nombre des problemes intrinseques a PHP par contre (au prix de limitations ? peut-etre, je sais pas) histoire que leurs developpeurs ne tombent pas dedans, mais j'ai jamais entendu parler qu'ils aient publie ce qu'ils ont fait.
Blaster c'est un bug qu'on avait deja corrige depuis un mois quand le virus est apparu. Sinon c'est bien que t'aies besoin d'aller 12 ans en arriere pour trouver qqe chose. Moi je te parles de PHP aujourd'hui.
Désolé de ne pas avoir la mémoire courte et de me souvenir du besoin rapide de mettre à jour Windows XP après install, dans un délai de quelques minutes avant d'être infecté par magie.
Pourquoi, tu crois qu'une distrib Linux de 2001 sans patchs est exempte de problemes similaires ?
Je ne parle pas d'Open Source (parce que c'était un peu la honte la faille SSH de Debian), je te parle d'hôpital qui se fout de la Charité, qui se croit trop fort, sans parler de licence.
Ben je te dirais perso que :
a) Je ne vois pas pourquoi tu amenes MS dans cette discussion, ca parlait de PHP. J'ai le droit de parler de qqe chose sans que Microsoft soit ramene ? Si je parles de cuisine tu vas venir comparer la cafeteria de MS ?
b) Vu que tu en parles, selon a peu pres tout le monde qui s'y connait en securite(Dan Kaminsky, Dave Aitel, Brad Hill, Charlie Miller, etc…), MS c'est plutot l'exemple a suivre. Donc bon, tu m'excuseras mais ton opinion sur le sujet m'importe peu.
Ouvre un compte twitter, chopes une dizaines de gars du monde de la securite et demandes leur quelle est la boite a suivre niveau securite du code.
Ils te repondront soit MS, soit Google dans la plupart des cas.
Ensuite, demandes leur ce qu'ils pensent de PHP.
Et apres, ben tu arretes d'utiliser PHP.
Ce que le gugus moyen pense de la securite des softs MS et des softs open source, perso ca me fait rire, parce que le gugus moyen ne comprend rien a la securite, mais s'amuse a faire coach de salon.
Perso j'ai quand meme un mal enorme a comprendre comment on peut se fier a un truc autant troue que PHP pour quelque chose d'aussi important que les finances d'une boite…
Je vous suggeres de changer de langage, de plus en plus de boites interdisent tout simplement PHP a cause de son historique incroyablement mauvais niveau securite.
Bien sur qu'ils ont fait qqe chose, mais de la a dire qu'ils sont la raison de la puissance de MS, c'est de la folie.
Dynamics c'est genre 1 milliard /an de revenus, un nain complet compare au reste de la societe, Frontpage n'a jamais ete un leader dans son segment, Hotmail a de l'importance mais de nouveau, par rapport au reste de MS c'est pas grand chose financierement.
Il y aurait Powerpoint qui a vraiment une grande importance mais quand tu vois a quoi ressemblait le soft achete par MS et comment il s'est developpe, il n'a plus rien a voir avec l'original depuis tres tres longtemps.
Il était possible de faire quelque chose, mais il faut accepter de collaborer et faire des propositions. Je présume que ISO fonctionne à peu près comme les autres organismes (W3C, OASIS, etc). Il vous aurez était possible de proposer une seconde version du standard ajoutant les fonctionnalités manquantes même sans en discuter avant avec IBM et RH.
Faire quelque chose ? Faire quoi ? Je te rappelle que c'etait un combat entre des concurrents, aucun des 2 cotes n'aurait voulu aider l'autre, ca c'est tres bien vu avec OOXML. Sun/IBM aurait refuse les changements proposes par MS, ca serait parti en couille et tirades pendant longtemps, ca aurait avance MS ou le standard pour les utilisateurs ? Certainement pas.
De plus je ne suis pas au fait des détails, mais il y a des gros morceaux de blobs dans OXML, il n'est pas non plus conçu pour être un standard mais fait pour fonctionner avec Word (toutes les fonctionnalités nommées *likeWord95 ou *likeWW8). Il ne réutilise pas les standards existants (les couleurs, les formats de vidéos, etc).
C'est 100% faux, c'etait du FUD tire par le cote LL pour couler le standard. Il n'y a AUCUN blob binaire dans le format tel que standardise. Quand au standard fait pour fonctionner avec Word, evidemment, et tu crois qu'ODF a ete invente en isolation ? C'etait un derive du format d'OO. Quand aux standards existants il en reutilise bcp, mais quand tu veux pouvoir gerer l'existant ben… faut gerer l'existant, pas de miracle. Ca s'appelle le realisme. Si tu veux permettre la migration au nouveau format, faut que le format puisse repliquer ce que les anciens formats faisaient. Et je te rappelle que ces 'likeWordXXX' sont decrit en long et en large dans le standard.
Si ODT est une tentative d'imposer un standard pour la bureautique, OOXML est une tentative d'imposer un standard pour la bureautique pour la gestion, des couleurs, des dates, des unités de mesure, des formats multimédia, etc… Évidement toutes ces choses qui pourraient être des standards séparés (ou plutôt dont il existe une version standardisé) sont relativement peu décrite dans OOXML (oui parce que 6 500 pages c'est déjà gros).
Tout ce qu'il faut pour implementer OOXML est decrit dans le standard. Il n'y a pas de "utilise le format XXX" et XXX n'est decrit nulle part. De nouveau, c'est du FUD de bas etage lance par le cote LL, et visiblement cela a bien fonctionne vu que tu y crois.
Et pour ajouter ça, il faut écrire un tout nouveau format (cf. : mon premier paragraphe).
Quand le format standardise est controle par des entites vouees a te couler, oui.
Si tu considère qu'utiliser les objets embarqués font partie de la norme alors oui, peut être que word suit la norme, mais la réalité c'est que tu ne peut pas reproduire ce que fait word en lisant uniquement la norme et éventuellement une liste d'autres normes mise en référence. C'est donc bien qu'il fait des choses hors-norme.
Tu me donnes un exemple ? Ou bien tu repetes ce que tu as lu sur des forums LL sans verifier ?
Et ça rend la chose acceptable du coup ? Si les autres font de la merde autant ne pas chercher à faire mieux ?
Je pointais simplement l'hypocrisie du monde libre qui crie a tort et a travers sur qqe chose que MS fait en se taisant quand leur logiciel phare le fait. Ca rend automatiquement leur argumentation caduque. Si ils l'acceptent pour leur soft phare, c'est que c'est pas si grave que ca pour eux.
Le menu applications dans Windows n'a jamais ete peuple automatiquement par Windows. C'est toujours les installers qui decident d'ajouter des entrees dedans…
Ensuite, oui, la maniere de presenter les applis installees pourrait etre meilleur a mon sens.
Il était impossible de le faire évoluer comme PDF par exemple ?
Vu qu'il etait controle par IBM & Sun qui avaient pour objectif de couler Office, non pas trop.
Donc on remplace un format controlé par 2 sociétés par un format controlé par une seule. Serieusement oui c'est un bon argument quand on est employé MS pour expliquer à son chef pourquoi on doit créer son propre format, mais l'utilisateur lui, il y perd. Je présume qu'autour de la table, c'est pas un sujet qui a intéréssé grand monde, l'utilisateur. Mais ça ne m'empêche pas d'avoir la nausée quand je vois l'énergie déployé dans une partie d’échec qui n'intéresse personne autre que 2 ou 3 clampins bourrés de frics dans de très grosses sociétés.
Oh mais tout a fait d'accord. L'evenement dans son entier : la normalisation d'ODF, suivi de la normalisation d'OpenXML n'ont rien ete d'autre qu'une guerre commerciale entre ces entites. Dans les 2 cas les utilisateurs etaient au 2eme rang sans grand chose a dire. Il fallait vraiment etre naif pour y voir autre chose. Ni MS, ni IBM, ni Sun, ni Google… n'avaient d'autre interet que les leurs la-dedans.
Que le standard soit initialement conçu par une communauté, IBM, MS ou la NSA on en a rien à foutre. Tant qu'il s'agit d'un standard qui tiens à peut près la route, dans le sens où il contiens les fonctionnalités pour l'énorme majorité des usages sans avoir besoin d'extensions propriétaires.
Ben dans ce cas quel est le probleme avec OpenXML ? Il n'y a aucune extension proprietaire dans la version standardisee d'OpenXML, aucune, contrairement a ce que certains fanboys du LL veulent faire croire.
ODT contiens probablement des manques, mais tu nous les fait découvrir (sincèrement), ça me laisse songeur quant à leur impact réel, alors que Word utilise des fonctionnalités hors-norme OOXML par défaut (comme quoi la norme n'est peut être pas si complète que ça).
a) ODT n'etait pas capable a l'epoque de decrire les formules dans une feuille de tableur. On va dire que c'est un trou gigantesque pour un format de suite office hein. Idem pour l'incapacite de decrire le change tracking.
b) Rien de ce que Word utilise n'est hors-norme. Tu vas lire http://en.wikipedia.org/wiki/Office_Open_XML#ISO.2FIEC_29500:2008 et tu verras que le standard a 2 parties : strict & transitional. Office 2010 lisait strict & transitional mais ecrivait en transitional, Office 2013 lit et ecrit en strict.
c) OpenOffice 3.2, sorti en 2010 comme Office 2010, utilisait des extensions a ODF : http://www.openoffice.org/dev_docs/features/3.2/rc1.html
Et faut arrêter chez MS de se la jouer, si vous aviez souhaité faire des standards interopérables vous n'auriez pas attendu que ODT soit ISO et vous auriez proposé un standard avec le .doc. Oui vous ne suivez que des intérêts purement économiques (OOo gagnait des parts de marchet du fait de son support de standard ISO) et c'est logique pour une entreprise etc, mais c'est tout aussi logique que des utilisateurs qui souffre de vos façons de faire vous exècrent pour la même raison.
C'est evident que MS suivait ses interets economiques, tout comme Sun & IBM suivait les leurs en se foutant royalement des utilisateurs aussi, mais la communaute LL preferait ignorer ce cote la bien sagement hein.
Tu m'expliques ? Quel logiciel 'privatif' contient des backdoors de la NSA (ou autre) ? Tu me les montres ?
Parce que c'est du code hein, les binaires sont disponibles, pour les gros softs genre Windows plein de gens ont acces aux sources, … tu devrais arriver a me montrer ou il est ce code dans le binaire si t'es au courant.
Ah tu n'en as pas, tu n'as que des rumeurs… surprenant dis moi. Ou pas trop en fait, tu te contentes simplement de repeter ce que tu as lu qqe part sans savoir de quoi il en retourne.
Mes sources d'informations sont justement tres variees, mais contrairement a toi j'ai l'esprit un peu plus ouvert que "Proprio c'est le Mal(TM) et Stallman est Dieu(TM)".
T'as tes LL tant mieux pour toi, si tu es naif au point de croire que sans les LLs tu serais dans un etat dictatorial c'est clairement que :
a) tu n'as jamais vu ce qu'est un etat dictatorial
b) Tu te fais des chimeres sur les LLs et leur soi-disant securite supplementaire grace a la disponibilite des sources
Non desole, rien de primordial, et il y a des dizaines d'annees d'experience qui le demontrent.
Qu'Apple fasse un truc specifique avec iOS ne veut pas dire que le meme probleme s'applique a tous les logiciels proprietaires. C'est la licence specifique du logiciel qui definit cela, pas l'ensemble "proprietaire".
T'as encore aujourd'hui des gens qui utilisent AmigaOS, MS-DOS, Windows 95, etc… Tous des logiciels proprietaires, et personne n'a enleve le droit a quiconque de les utiliser.
Et je rajouterai que ce point la (perennite) n'a rien a voir avec le concept 'reel' de liberte. Ton iOS arrete de fonctionner parce qu'Apple aime pas ta tete, tu vas prendre un Android, ou un Windows Phone, ou un XXX. Ca n'affecte pas tes droits humains.
Les LL ne sont pas essentiels pour un internet libre, un internet sans mouchards, … Ils peuvent aider comme tous les autres softs, mais ils n'ont intrinsequement rien qui change la donne (et qu'on ne me sorte pas le gag du code source auditable par n'importe qui…)
Ah oui tiens, IDA va subitement t'enfermer… Il va muer tout seul et hop, d'un coup d'un seul tu seras enferme, meme pas eu le temps de clicker l'icone pour fermer le soft !
a) OpenXML n'a rien de batard dans sa version standardisee. L'avis de la fondation Linux on va bien le mettre dans la categorie "avis outrement partial" hein.
b) ODF etait un standard international oui, dans le sens "il a ete approuve", mais dans la realite des choses il etait totalement incomplet et inutilisable pour une suite Office, sans parler du fait qu'il etait controle par 2 des plus gros concurrents de MS( Sun & IBM). Bref crier au scandale parce que OpenXML a ete approuve tout en trouvant normal qu'ODF l'ai ete malgre ses oublis criants c'est un peu hypocrite.
Il y a une difference gigantesque entre le vrai sens du mot liberte et le sens 'software' du terme.
Le jour ou tu auras vu les effets de la perte du 1er, tu te rendras compte a quel point le 2eme est peu important en comparaison, meme si il peut avoir une importance pour certains.
Pas de dedain, mais je suis effectivement totalement incapable de comprendre les gens qui sont obsessionels sur ce point la et qui occultent tout le reste.
en signaler les bugs, améliorer la documentation voire le code pour dans quelques années avoir un super outil libre, digne de confiance, meilleur que les outils privateurs, bien documenté, convivial et qui fait gagner du temps, c'est aussi un bon choix.
C'est une question de choix effectivement : veux-tu etre un alpha/beta-testeur ou un utilisateur ? Si tu veux etre un testeur et que tu es pret a souffrire pendant longtemps dans l'optique de peut-etre avoir un truc bien dans qqe annees alors oui effectivement. Si tu veux etre efficace ben non.
et aider l'éditeur à nous enfermer dans son modèle commercial pourri
Si tu choisis de te laisser enfermer c'est ton probleme, ce n'est pas parce que tu utilises un logiciel non-libre qu'il va forcement t'enfermer.
Ah oui quelle privation de liberte de ne pas avoir les sources d'IDA et pouvoir les modifier / redistribuer….
C'est tellement mieux d'avoir a la place des outils que tu peux modifier, mais qui sont totalement desuets !
Parce qu'au final l'objectif c'est pas d'apprendre a faire du reverse-engineering, non non, l'objectif est de se faire de la branlette intellectuelle en se disant que si on veut on peut modifier le code de gdb, YEAHHH!
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
Oui j'aimerais bien que tu me detailles comment un soft tournant sous un compte non-admin peut faire ca. Et ne me sort pas que tous les comptes sont admin, ca fait un bon moment maintenant que les comptes meme admins utilisent un token restreint et il faut passer par UAC pour elever a full-admin, l'equivalent de sudo.
Et tu veux que MS ou Windows fasse quoi quand des clowns bloquent les updates et remplacent les dlls du systeme ? L'admin est seul maitre a bord, tout comme sous Linux, si il decide de se tirer dans le pied (ou laisse un de ses contractants lui tirer dans le pied comme dans ce cas), c'est clairement pas la faute du systeme.
Le systeme lui-meme ne souffre d'aucun de ces problemes. Si t'as un editeur qui fait des trucs crades, va lui crier dessus. Tu n'aurais pas idee de gueuler sur Linux si Oracle(ou autre) t'installes de force une libc maison sur le systeme quand meme ?
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -8.
Ah oui ? Donnes moi donc un exemple de modif realisable sous Windows et pas sous Linux
De nouveau, donne mois la difference. Je veux l'explication technique donc.
Ben justement, tu nous donnes des exemples de logiciels un tant soit peu importants qui rentrent dans ces categories ?
Je suis sur que tu vas nous trouver des softs d'il y a 10 ans, ou un truc pourri ecrit par 3 pekins, mais je parles de vrais softs, que bcp de gens utilisent.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -9.
Vraiment, tu es tellement obsede par l'idee que je ne pousse que MS / Windows que tu ne fais meme pas attention a ce que je dis. Ca te tenterait de lire un peu en profondeur plutot que sauter sur ton clavier des la 1ere seconde ?
On va prendre la methode du clown qui a poste l'article sur le site omgubuntu et l'appliquer correctement (= donner a chaque OS 1 point si il n'y a pas de commentaire negatif sur une section)
Ubuntu : https://www.gov.uk/government/publications/end-user-devices-security-guidance-ubuntu-1204/end-user-devices-security-guidance-ubuntu-1204
Tu regardes les 12 sections, il y a des commentaires negatifs sur 3 sections :
- VPN pas certifie
- encryption disque pas certifiee
- pas de secure boot
Windows 8 : https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7-and-windows-8/end-user-devices-security-guidance-windows-7-and-windows-8
Si tu lis les commentaires plutot qu'aveuglement compter sans lire les commentaires, tu te rends compte que pour Windows 8, il n'y a de commentaires negatifs que sur 2 sections :
- Bitlocker pas certifie
- L'entreprise ne peut pas forcer d'update des apps du Metro store (ca me surprendre mais bon qui sait)
Le reste concerne Windows 7, et le clown qui a poste l'article n'a clairement pas meme fait l'effort de lire, et s'est contente de compter les sections sans aucun commentaire.
Resultat, selon cette methode, Windows 8 est meilleur qu'Ubuntu(et Windows 7 est equivalent avec 9 points), et pourtant je dis que c'est une comparaison stupide et sans aucun sens
Bref, fais un minimum d'effort pour lire ce que les gens ecrivent plutot que sauter sur ton cheval des le 1ere paragraphe. Je suis en train de dire qu'une methode qui montre Windows sous un meilleur jour qu'Ubuntu est stupide, mais dans ton excitation et obsession tu n'es meme pas foutu de lire ce que j'ecris.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -8.
Merci pour cet enorme moment d'humour.
Maintenant tu fais un pas de plus, tu vas sur le site de GCHQ, et tu regardes ces 12 sections. Tu me montres en quoi ces sections sont des "bon / pas bons" ou autre evaluation comparative.
Le clown qui a poste ca sur le site omgubuntu.co.uk n'a clairement rien compris a ce qu'il a lu sur le site de GCHQ.
Tu prends par exemple Windows 8 ( https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7-and-windows-8/end-user-devices-security-guidance-windows-7-and-windows-8 ) et tu te rends compte que le texte present dans la recommendation 1 et dans la 4, ce n'est rien de negatif, c'est une explication. Resultat, si on utilise le jugement totalement pourri du clown qui a poste l'article, ca laisse Windows 8 avec 2 entree, moins que les 3 d'Ubuntu.
Mais vu que c'est une maniere totalement debile de juger un systeme, ca n'a vraiment aucun sens. Et c'est bien pour ca que GCHQ n'a jamais mis cela comme un moyen de comparaison entre systemes, mais simplement une recommendation pour l'usage de ces systemes individuellement.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
C'est sympa ta liste… Moi je peux probablement te faire une liste de sites qui viennent d'etre ecrit en Perl ou en C si je cherches bien.
J'ai pas dit que PHP a disparu, j'ai dit qu'il commence a etre evite a cause de ses problemes de securite. Il ne va evidemment pas disparaitre en 3 jours hein.
T'as tout dit la, et c'est bien le probleme. PHP a des parametres par defaut qui sont dangereux, que la plupart des developpeurs ratent sans parler du reste.
D'autres frameworks n'ont pas ces problemes. Tout comme plein de gens se sont mis a C# et Java plutot que C car au final, c'etait plus sur et plus simple.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -9.
Et oui, IE8… avec ActiveX. Mais evidemment, si tu prends ActiveX sans meme comprendre comment son integration a changer dans IE8 c'est normal.
Tout comme il est normal que tu aies une vision de la realite deformee si tu te bases sur une page wikipedia pour te faire une opinion de la securite d'un browser, ou si tu te contentes de lire ce qui passe sur slashdot ou linuxfr.
Il y a des pontes de l'industrie de la securite, des gens qui sont experts dans le domaine, qui disent quasiment tous la meme chose, faudrait penser a mettre ca dans la balance et accepter de revoir ses prejuges.
Perso quand d'un cote j'ai Didier Deschamps, Laurent Blanc et Luis Fernandes qui choisissent une tactique, et de l'autre j'ai Pierre Menes et Thierry Roland qui font des vannes dessus, ben mon camp est vite choisi hein…
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/
Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?
In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?
…
In your opinion, which is the safer combination OS+browser to use?
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -8.
Ma source est d'anciens collegues et personnes de l'industrie que j'ai rencontre et revois de temps en temps autour d'une biere, rien d'officiel sur une page web que je sache car ce sont des decisions d'entreprise internes.
Je ne connais pas HipHop et HHMV assez pour savoir leur impact en terme de securite. De ce que j'en ai lu, non car ils s'occupent principalement de performance et de la maniere dont le code PHP est execute plutot que de nettoyage de ce que PHP permet de faire. Vu les ressources que Facebook a investi j'imagines qu'ils se sont assure que leur version interne de PHP a elimine nombre des problemes intrinseques a PHP par contre (au prix de limitations ? peut-etre, je sais pas) histoire que leurs developpeurs ne tombent pas dedans, mais j'ai jamais entendu parler qu'ils aient publie ce qu'ils ont fait.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
Blaster ? Ah ben tu fais bien d'en parler !
Blaster c'est un bug qu'on avait deja corrige depuis un mois quand le virus est apparu. Sinon c'est bien que t'aies besoin d'aller 12 ans en arriere pour trouver qqe chose. Moi je te parles de PHP aujourd'hui.
Désolé de ne pas avoir la mémoire courte et de me souvenir du besoin rapide de mettre à jour Windows XP après install, dans un délai de quelques minutes avant d'être infecté par magie.
Pourquoi, tu crois qu'une distrib Linux de 2001 sans patchs est exempte de problemes similaires ?
Je ne parle pas d'Open Source (parce que c'était un peu la honte la faille SSH de Debian), je te parle d'hôpital qui se fout de la Charité, qui se croit trop fort, sans parler de licence.
Ben je te dirais perso que :
a) Je ne vois pas pourquoi tu amenes MS dans cette discussion, ca parlait de PHP. J'ai le droit de parler de qqe chose sans que Microsoft soit ramene ? Si je parles de cuisine tu vas venir comparer la cafeteria de MS ?
b) Vu que tu en parles, selon a peu pres tout le monde qui s'y connait en securite(Dan Kaminsky, Dave Aitel, Brad Hill, Charlie Miller, etc…), MS c'est plutot l'exemple a suivre. Donc bon, tu m'excuseras mais ton opinion sur le sujet m'importe peu.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -6.
Ben en fait c'est simple.
Ouvre un compte twitter, chopes une dizaines de gars du monde de la securite et demandes leur quelle est la boite a suivre niveau securite du code.
Ils te repondront soit MS, soit Google dans la plupart des cas.
Ensuite, demandes leur ce qu'ils pensent de PHP.
Et apres, ben tu arretes d'utiliser PHP.
Ce que le gugus moyen pense de la securite des softs MS et des softs open source, perso ca me fait rire, parce que le gugus moyen ne comprend rien a la securite, mais s'amuse a faire coach de salon.
# Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -6.
Perso j'ai quand meme un mal enorme a comprendre comment on peut se fier a un truc autant troue que PHP pour quelque chose d'aussi important que les finances d'une boite…
Je vous suggeres de changer de langage, de plus en plus de boites interdisent tout simplement PHP a cause de son historique incroyablement mauvais niveau securite.
[^] # Re: Jusqu'où faut-il s'adapter ?
Posté par pasBill pasGates . En réponse à la dépêche Pourquoi Microsoft Word doit mourir ?. Évalué à -5.
Bien sur qu'ils ont fait qqe chose, mais de la a dire qu'ils sont la raison de la puissance de MS, c'est de la folie.
Dynamics c'est genre 1 milliard /an de revenus, un nain complet compare au reste de la societe, Frontpage n'a jamais ete un leader dans son segment, Hotmail a de l'importance mais de nouveau, par rapport au reste de MS c'est pas grand chose financierement.
Il y aurait Powerpoint qui a vraiment une grande importance mais quand tu vois a quoi ressemblait le soft achete par MS et comment il s'est developpe, il n'a plus rien a voir avec l'original depuis tres tres longtemps.
[^] # Re: campus francais, serveur aux US
Posté par pasBill pasGates . En réponse au journal qyshare et Amazon EC2. Évalué à 2.
Reduire Amazon EC2 / AWS a "suffirait de se mettre a 3 ou 4 pour payer un serveur" c'est quand meme rigolo…
[^] # Re: mauvaise compatibilité
Posté par pasBill pasGates . En réponse au journal Quand Microsoft se paie la tête des Chromebooks.... Évalué à -8.
Faire quelque chose ? Faire quoi ? Je te rappelle que c'etait un combat entre des concurrents, aucun des 2 cotes n'aurait voulu aider l'autre, ca c'est tres bien vu avec OOXML. Sun/IBM aurait refuse les changements proposes par MS, ca serait parti en couille et tirades pendant longtemps, ca aurait avance MS ou le standard pour les utilisateurs ? Certainement pas.
C'est 100% faux, c'etait du FUD tire par le cote LL pour couler le standard. Il n'y a AUCUN blob binaire dans le format tel que standardise. Quand au standard fait pour fonctionner avec Word, evidemment, et tu crois qu'ODF a ete invente en isolation ? C'etait un derive du format d'OO. Quand aux standards existants il en reutilise bcp, mais quand tu veux pouvoir gerer l'existant ben… faut gerer l'existant, pas de miracle. Ca s'appelle le realisme. Si tu veux permettre la migration au nouveau format, faut que le format puisse repliquer ce que les anciens formats faisaient. Et je te rappelle que ces 'likeWordXXX' sont decrit en long et en large dans le standard.
Tout ce qu'il faut pour implementer OOXML est decrit dans le standard. Il n'y a pas de "utilise le format XXX" et XXX n'est decrit nulle part. De nouveau, c'est du FUD de bas etage lance par le cote LL, et visiblement cela a bien fonctionne vu que tu y crois.
Quand le format standardise est controle par des entites vouees a te couler, oui.
Tu me donnes un exemple ? Ou bien tu repetes ce que tu as lu sur des forums LL sans verifier ?
Je pointais simplement l'hypocrisie du monde libre qui crie a tort et a travers sur qqe chose que MS fait en se taisant quand leur logiciel phare le fait. Ca rend automatiquement leur argumentation caduque. Si ils l'acceptent pour leur soft phare, c'est que c'est pas si grave que ca pour eux.
[^] # Re: Alors qu'un VRAI ultrabook...
Posté par pasBill pasGates . En réponse au journal Quand Microsoft se paie la tête des Chromebooks.... Évalué à 0.
Le menu applications dans Windows n'a jamais ete peuple automatiquement par Windows. C'est toujours les installers qui decident d'ajouter des entrees dedans…
Ensuite, oui, la maniere de presenter les applis installees pourrait etre meilleur a mon sens.
[^] # Re: mauvaise compatibilité
Posté par pasBill pasGates . En réponse au journal Quand Microsoft se paie la tête des Chromebooks.... Évalué à -10.
Vu qu'il etait controle par IBM & Sun qui avaient pour objectif de couler Office, non pas trop.
Oh mais tout a fait d'accord. L'evenement dans son entier : la normalisation d'ODF, suivi de la normalisation d'OpenXML n'ont rien ete d'autre qu'une guerre commerciale entre ces entites. Dans les 2 cas les utilisateurs etaient au 2eme rang sans grand chose a dire. Il fallait vraiment etre naif pour y voir autre chose. Ni MS, ni IBM, ni Sun, ni Google… n'avaient d'autre interet que les leurs la-dedans.
Ben dans ce cas quel est le probleme avec OpenXML ? Il n'y a aucune extension proprietaire dans la version standardisee d'OpenXML, aucune, contrairement a ce que certains fanboys du LL veulent faire croire.
a) ODT n'etait pas capable a l'epoque de decrire les formules dans une feuille de tableur. On va dire que c'est un trou gigantesque pour un format de suite office hein. Idem pour l'incapacite de decrire le change tracking.
b) Rien de ce que Word utilise n'est hors-norme. Tu vas lire http://en.wikipedia.org/wiki/Office_Open_XML#ISO.2FIEC_29500:2008 et tu verras que le standard a 2 parties : strict & transitional. Office 2010 lisait strict & transitional mais ecrivait en transitional, Office 2013 lit et ecrit en strict.
c) OpenOffice 3.2, sorti en 2010 comme Office 2010, utilisait des extensions a ODF : http://www.openoffice.org/dev_docs/features/3.2/rc1.html
C'est evident que MS suivait ses interets economiques, tout comme Sun & IBM suivait les leurs en se foutant royalement des utilisateurs aussi, mais la communaute LL preferait ignorer ce cote la bien sagement hein.
[^] # Re: Quand les commentaires de pBpG bloquent la discussion...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -6.
A force d'utiliser les logiciels privatifs ?
Tu m'expliques ? Quel logiciel 'privatif' contient des backdoors de la NSA (ou autre) ? Tu me les montres ?
Parce que c'est du code hein, les binaires sont disponibles, pour les gros softs genre Windows plein de gens ont acces aux sources, … tu devrais arriver a me montrer ou il est ce code dans le binaire si t'es au courant.
Ah tu n'en as pas, tu n'as que des rumeurs… surprenant dis moi. Ou pas trop en fait, tu te contentes simplement de repeter ce que tu as lu qqe part sans savoir de quoi il en retourne.
Mes sources d'informations sont justement tres variees, mais contrairement a toi j'ai l'esprit un peu plus ouvert que "Proprio c'est le Mal(TM) et Stallman est Dieu(TM)".
T'as tes LL tant mieux pour toi, si tu es naif au point de croire que sans les LLs tu serais dans un etat dictatorial c'est clairement que :
a) tu n'as jamais vu ce qu'est un etat dictatorial
b) Tu te fais des chimeres sur les LLs et leur soi-disant securite supplementaire grace a la disponibilite des sources
[^] # Re: Quand les commentaires de pBpG bloquent la discussion...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -6. Dernière modification le 30 novembre 2013 à 00:19.
Non desole, rien de primordial, et il y a des dizaines d'annees d'experience qui le demontrent.
Qu'Apple fasse un truc specifique avec iOS ne veut pas dire que le meme probleme s'applique a tous les logiciels proprietaires. C'est la licence specifique du logiciel qui definit cela, pas l'ensemble "proprietaire".
T'as encore aujourd'hui des gens qui utilisent AmigaOS, MS-DOS, Windows 95, etc… Tous des logiciels proprietaires, et personne n'a enleve le droit a quiconque de les utiliser.
Et je rajouterai que ce point la (perennite) n'a rien a voir avec le concept 'reel' de liberte. Ton iOS arrete de fonctionner parce qu'Apple aime pas ta tete, tu vas prendre un Android, ou un Windows Phone, ou un XXX. Ca n'affecte pas tes droits humains.
[^] # Re: Quand les commentaires de pBpG bloquent la discussion...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -9.
Non desole toujours pas.
Les LL ne sont pas essentiels pour un internet libre, un internet sans mouchards, … Ils peuvent aider comme tous les autres softs, mais ils n'ont intrinsequement rien qui change la donne (et qu'on ne me sorte pas le gag du code source auditable par n'importe qui…)
[^] # Re: Quand la religion bloque le progres...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -8.
Ah oui tiens, IDA va subitement t'enfermer… Il va muer tout seul et hop, d'un coup d'un seul tu seras enferme, meme pas eu le temps de clicker l'icone pour fermer le soft !
Un minimum de serieux serait le bienvenu.
[^] # Re: mauvaise compatibilité
Posté par pasBill pasGates . En réponse au journal Quand Microsoft se paie la tête des Chromebooks.... Évalué à -10.
a) OpenXML n'a rien de batard dans sa version standardisee. L'avis de la fondation Linux on va bien le mettre dans la categorie "avis outrement partial" hein.
b) ODF etait un standard international oui, dans le sens "il a ete approuve", mais dans la realite des choses il etait totalement incomplet et inutilisable pour une suite Office, sans parler du fait qu'il etait controle par 2 des plus gros concurrents de MS( Sun & IBM). Bref crier au scandale parce que OpenXML a ete approuve tout en trouvant normal qu'ODF l'ai ete malgre ses oublis criants c'est un peu hypocrite.
[^] # Re: Quand les commentaires de pBpG bloquent la discussion...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -4.
Il y a une difference gigantesque entre le vrai sens du mot liberte et le sens 'software' du terme.
Le jour ou tu auras vu les effets de la perte du 1er, tu te rendras compte a quel point le 2eme est peu important en comparaison, meme si il peut avoir une importance pour certains.
[^] # Re: Quand les commentaires de pBpG bloquent la discussion...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -9.
Pas de dedain, mais je suis effectivement totalement incapable de comprendre les gens qui sont obsessionels sur ce point la et qui occultent tout le reste.
La vie est faite de balance et de compromis.
[^] # Re: Quand la religion bloque le progres...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -7.
C'est une question de choix effectivement : veux-tu etre un alpha/beta-testeur ou un utilisateur ? Si tu veux etre un testeur et que tu es pret a souffrire pendant longtemps dans l'optique de peut-etre avoir un truc bien dans qqe annees alors oui effectivement. Si tu veux etre efficace ben non.
Si tu choisis de te laisser enfermer c'est ton probleme, ce n'est pas parce que tu utilises un logiciel non-libre qu'il va forcement t'enfermer.
[^] # Re: Quand les commentaires de pBpG bloquent la discussion...
Posté par pasBill pasGates . En réponse au journal Disséquer du binaire sous linux. Évalué à -10.
Ah oui quelle privation de liberte de ne pas avoir les sources d'IDA et pouvoir les modifier / redistribuer….
C'est tellement mieux d'avoir a la place des outils que tu peux modifier, mais qui sont totalement desuets !
Parce qu'au final l'objectif c'est pas d'apprendre a faire du reverse-engineering, non non, l'objectif est de se faire de la branlette intellectuelle en se disant que si on veut on peut modifier le code de gdb, YEAHHH!