pasBill pasGates a écrit 16313 commentaires

Sisi c'est dangereux, meme si il n'y avait pas kASLR avant.

Quasiment tous les bypass d'une techno comme ASLR reposent sur un info leak, et un info leak en lui-meme est une vulnerabilite, ASLR ou pas. cf. l'info leak d'OpenSSL en ce moment…

Raison pour laquelle il vaut mieux ne pas ouvrire le code source de l'exploit a tout le monde…

Mais bien sur qu'il y a le choix.

Le truc c'est que ton poste de travail, il appartient a ton gros groupe industriel, pas a toi, et lui il a le choix. Et clairement le departement informatique de ta boite a decide de rester a XP plutot qu'aller sur Linux…

On parlait XP sur le desktop la, les ATM c'est genre 0.00001% des XP installes…

Pour ce qui est des banques, imaginent qu'ils tapent sur la table et choppent les pilotes.

Ben voila, ils prennent Redhat et … https://access.redhat.com/site/support/policy/updates/errata/

Ah ben tiens, leur support est pas plus long que celui de MS… C'est pas ca qui va les faire changer de bord.

Ils ont toujours eu le choix. Rien ne les empeche d'effacer XP et d'installer Linux que je sache, ou le mettre en double boot et jamais demarrer XP, ou autre. Linux est gratuit, et si j'en crois les gens ici ils supporte bcp plus de HW que Windows.

Pourtant, en regardant les stats web, non, quasiment personne en 10 ans n'a eu un interet suffisant pour le faire…

Non non, autorisant.

T'es libre d'envoyer autant de requetes que tu veux hein… et t'es aussi libre d'envoyer d'autres requetes au systeme afin d'exercer l'allocateur et lui faire mettre en memoire ce que tu veux lire.

Il n'y a pas de 'potentiel', c'est avere, ca prend simplement plus qu'une requete pour avoir ce que tu veux.

Cela a ete fait en responsible disclosure.

Parce-que même après 10 ans, ça reste de la pur merde privatrice, vraiment, et qui techniquement ne tient pas la route face à Linux.

Tu parles de l'OS sorti en 2001 qui a toujours 25x plus de parts de marche que Linux alors qu'il n'est plus en vente depuis des lustres et que Linux est gratuit ?

On va tous se poser la question de pourquoi les gens preferent XP a toutes les versions de Linux sorties depuis des annees hein…

Hein quoi ? non ? Tu veux garder ta tete dans le sable ?

Ah la charge de travail….

Si c'etait le seul element qui entre en compte dans l'ajout de features dans un programme ca se saurait.

• Quel effet cela a sur les utilisateurs ?
• Quel risque cela pose aux utilisateurs ? (chances que cela casse qqe chose, que cela les pousse a faire la mauvaise chose, etc…)
• Quel cout en test ?
• Quel cout en support ? (est-ce que les utilisateurs vont se mettre a appeler car ils ne comprennent pas , ils ont peur, …) …

Faut sortir un peu de ce monde OSS ou il n'y a quasiment pas de test, pas de support, ou l'utilisateur n'a qu'a RTFM. Le monde exterieur, qui est 99% du marche Desktop ne ressemble pas a ca.

Que pbpg dise que c'est inutile a Microsoft, c'est totalement vrai mais par contre c'est bien encore une fois le meme cas de figure que avec les navigateurs internet et un abus de position dominante.

Lol, tes connaissances en droit sont aussi elevees qu'en informatique visiblement.

Ils agissent comme de gros connards

C'est quand meme beau comme tu te plains toujours (a tort) d'etre insulte, et tu ne te genes pas une seconde pour le faire en retour.

Mais bien sur que cela serait possible !

Mais mets toi a la place d'un chef de projet pour Windows.

Il y a 40'000 trucs qu'il peut ajouter, chacun qui va ameliorer Windows pour 2%, 3%, 95% des utilisateurs de Windows, et il y a ca qui arrive sur son bureau.

Ca tombe ou dans les priorites ? Tout en bas evidemment.

De nouveau, pourquoi ajouter une option qui va faire peur a plein de gens (ouh la, ca efface des trucs), et qui ne sert qu'a moins de 1% de la population ?

Quel benefice pour 99% des gens ? Aucun au contraire, ca rend l'experience pire, ca va empecher certains d'utiliser leur ordinateur immediatement car ils ont peur des implications
Quel benefice pour MS ou Windows ? Aucun

Tout ca pour faire plaisir a moins de 1% de la population, des gens qui pour nombre d'entre eux ne sont meme pas interesses par Windows du tout ? Ca n'a absolument aucun sens.

Grub2, lilo, etc… vont tous te demander confirmation avant d'aller ecraser le bootloader.

Et quand ils ne le font pas, ben voila ce qui arrive :

https://bugs.launchpad.net/ubuntu/+source/grub2/+bug/713031

Comme le dit Colin Watson lui-meme (un dev de Grub donc) :

There's no reliable way to tell whether GRUB is installed in an MBR or not

C'est ce que certains (heureusement que t'as mis le smiley :) ) penseraient, et viendrait alors :

Pourquoi poser une question pareille a 99% des gens qui n'en ont rien a faire ?

Pourquoi les apeurer pour eviter 5 minutes de travail a 1% de la population ? (ouh la, le systeme va EFFACER QUELQUE CHOSE !!!!, appelons le support !)

cf. ma reponse plus bas, incompetence, de ton cote comme d'habitude.

Premièrement en n'ecrasant pas l'existant sans poser une question.

Et tu poses quoi comme question exactement ?

Sachant que l'utilisateur moyen n'a aucun moyen de comprendre ce qu'est un bootloader, voire meme un OS, et que Windows ne connaissant pas les formats des 4325 bootloaders qui changent tout le temps, il ne peut pas faire d'inference sur le contenu du MBR pour savoir si c'est du bordel ou un vrai bootloader.

Deuxièmement ils sont vraiment géniaux les développeurs de grub, lilo, et cie car eux ils arrivent à le faire, installer un boot loader sans écraser comme un bourrin le précédent et en prime en le rajoutant dans le menu de démarrage. Donc franchement des génies ou chez Microsoft ils sont débiles ou il existe une volonté de faire chier du côté de redmond.

Non, ils ont simplement 1% des systemes que doit gerer MS, et ils ont des utilisateurs en moyenne beaucoup, beaucoup plus experimentes que l'utilisateur Windows moyen ce qui facilite enormement la vie.

Alors MS a le choix entre mettre un boulot de taille serieuse, avec un resultat qui va interloquer la grosse majorite de leurs utilisateurs et potentiellement leur causer des problemes, histoire que moins de 1% de la population, qui eux sont debrouilles d'habitude, n'aient pas a faire une petite manip a la fin, ou bien ecraser le MBR car dans l'enorme, enorme, enorme majorite de cas, c'est exactement ce que l'utilisateur veut.

Tout chef de projet, developpeur, etc… avec un minimum de jugeotte prendra la meme decision que MS dans cette situation.

A l'inverse, l'iPad, c'est de l'histoire très récente : 4 ans d'existence, et probablement moins pour que MS sente le danger. A mon avis Office pour iPad ne dormait pas dans les cartons : il est sorti dès qu'il était prêt. (c'est que mon avis).

Il y avait un Office pour iOS pret a etre pose sur le store pour plusieurs mois avant que je quitte MS en Octobre… Le team qui a developpe ca avait essaye de me faire rejoindre leur equipe il y a 3.5 ans de cela.
J'imagine qu'ils ont quand meme fait des ameliorations entre temps, mais il etait pret a sortir depuis un moment, et j'ai cru comprendre qu'une des grosses raisons du delai etait la taxe de 30% d'Apple (mais je n'ai pas eu confirmation de source sure).

Arretes, tu lui demandes un truc constructif sur Microsoft la, aucune chance que tu aies une reponse

Le nom de la constante non plus ? Ben t'as mal choisi ton nom de constante alors…

Le nom du fichier ne te donne pas la raison pour laquelle il est utilise dans le code, qui peut etre differente pour des softs differents utilisant le meme fichier.

Pour quelquechose qu'on prevoit de ne pas changer, ca complique pour rien.

Parce que c'est bien connu, on sait tout du futur au debut du developpement…

Utiliser une constante definie plutot qu'un chiffre est toujours la bonne chose a faire.

A) Parce que ca donne un nom a la valeur, qui explique ce qu'elle represente, sans empecher la lecture car tout IDE qui se respecte montrera la valeur
B) Parce que si un jour elle doit changer, ou doit etre differente sur une nouvelle platforme, ou etc… ben il n'y a qu'un seul changement a faire plutot qu'essayer de retrouver les 43 endroits ou elle aurait pu etre utilisee.
C) Parce que si d'autres valeurs en dependent, il est de nouveau bcp plus lisible d'avoir le nom de la valeur plutot qu'un chiffre qui sort d'on ne sait ou

Moche ca veut justement dire pas maintenable et pas facilement portable.

Les developeurs de systemd ne semblent pas avoir de problème particulier pour le maintenir.

Ah oui ? Tu utilises quoi pour evaluer ca ?

J'ai passe 10 ans dans une equipe dont tout le boulot etait la maintenance, j'ai vu la difference enorme qu'il y a entre du code propre et maintenable, et du code moche et pas maintenable.

Ce n'est pas parce que des releases de systemd continuent de sortir que leur code est maintenable et propre.
Tu vois si c'est maintenable quand tu fais un changement et que tout ne s'ecroule pas, ou que tu n'as pas besoin de chercher 3 jours pourquoi un changement d'une ligne a droite pete une feature a gauche ou d'ou vient un effet de bord bizarre.

La maniere dont ce code poste a ete ecrit est clairement non maintenable, il n'y a pas d'isolation des elements, la fonction est enorme, il manque des verifications de retour d'erreur.

Soyons francs…

Je suis pour systemd, je trouves que c'est une bonne chose pour le systeme.

Mais ce code qui a ete poste la, il est moche, pas facilement maintenable, pas facilement portable.

Pas sympa de poster ca pendant que je manges, j'ai failli tout recracher sur mon bureau…

C'est en Europe ca il me semble (le fait de devoir avoir un effet physique), pas aux USA de ce que j'en sais.

Mais reconnais tout de même qu'il n'y a que ce client pour se prendre une amende de 500 millions d'euro, s'engager officiellement à corriger, ne pas le faire

T'es marrant, MS l'a fait pendant un bon moment, et a toujours continue a le faire. Il y a eu un probleme affectant Windows 7 SP1 et c'est tout. Faut etre gonfle pour dire qu'ils ont rien fait.

Il a bon dos le bug. Ça veut dire que des gens s'engagent officiellement par écrit mais qu'il n'y a aucun suivi derrière ?

Aucun suivi ? MS a fait ce qui a ete demande sur tous les systemes demandes, excepte dans le cas de Win7 SP1 ou il y a eu le bug. Tu vas me dire que les bugs dans le code ca n'existe pas ? Tu fais quoi de tous les autres systemes ou tout a marche comme demande ? Visiblement ceux la n'ont aucune importance pour toi, il n'y a que quand il y a un probleme que ca t'interesse.

Je maintiens : non, les lois et amendes ne changent rien, puisque ce qui a été demandé n'a pas été fait.

Ben oui tiens, la justice ce ne sert a rien c'est bien connu…