pasBill pasGates a écrit 16349 commentaires

Non ce n'est pas homogène! Dans le menu de désinstallation des programme c'est compliqué de rajouter une case vérifier les mises à jour, et avoir une base chez MS, consultée en même temps que les mises à jour du système pour indiquer qu'il y a une mise à jour? (quitte à avoir la même merde pour les maj, mais au moins ne pas avoir 50 process qui encombre la ram (ou le swap), la liste de processus en cours, font des connexions réseau…

Ben oui c'est complique… Parce que sans un 'store' ou les apps sont verifiees, ou elles sont limitees par une sandbox, … que devient la responsabilite de MS si un de ces softs est pourri ? Comment est-ce que MS doit gerer ca pour les centaines de milliers de softs de tout un chacun ? que fait MS avec les adwares ? etc…

Le store de Win8 ca fonctionne, parce que ca part de rien, pas d'existant enorme a gerer.

A mon avis il y aurait eu quand meme matiere a amelioration (= une sorte de framework facilitant et uniformisant le boulot), mais c'est un probleme complique et pas que sur le plan technique.

Par défaut, ce n'est pas le cas. C'est juste le paramètre par défaut d'Ubuntu.

Bref, c'est le cas pour la plupart des pekins moyens qui existent sous Linux…

Chez moi j'ai bien Sudo (et gksu), mais j'ai le délai avant un nouvel demande d'authentification à 0, ce qui veut dire que tu n'auras jamais 15 minutes pour faire ce que tu veux. ;-)

Et chez moi il n'y a meme pas UAC… Mais de nouveau, le pekin moyen…

Toujours par rapport à l'UAC de Windows Vista/Seven, j'aime le fait que ce soit un choix entre Oui/Non plutôt que de demander un mot de passe (par défaut, certes). Bref, on a tout le temps la possibilité de faire ce qu'on veut tant qu'on a un accès physique et que c'est pas verrouillé (d'ailleurs, on peut aussi verrouiller sous Ubuntu tu sais). C'est un peu nul niveau sécurité quand même.

Ben si t'as un acces physique, ta machine est foutue de toute facon hein. Cf. la NSA et ses implants sur port PCI et autres.

1) Tout a fait

2) Je n'y crois pas. Pourquoi ? Parce que l'enorme majorite des utilisateurs desktop sous Linux sont sous Ubuntu. Et pour les serveurs c'est entre Redhat/Debian voire Suse, le reste est infime.

3) On est d'accord, mais c'est dans les 2 sens, pour l'utilisateur moyen, les depots Linux c'est sympa quand le soft et sa bonne version sont dedans. Quand c'est pas le cas, c'est un peu l'enfer pour installer la version voulue.

4) J'ai pas Java sur ma machine perso (ce truc est un desastre du point de vue securite), mais j'ai du mal a imaginer qu'il n'ait pas un moyen de faire une elevation, ou faire l'update a travers un service. Flash et Reader n'ont pas ce probleme.

5) Avoir un systeme pirate n'empeche pas les mises a jour, on ne les bloque pas.

Je veux bien qu'ils fassent des efforts mais ce qui est cité là c'est pourtant contraire à la plupart des règles de bases de sécurité.

a) Le truc des mots de passe a 14 caracteres, sans casse, etc… c'est bloque par defaut depuis Vista, et c'etait deconseille avant (NTLMv1). Faut le permettre explicitement pour qu'il soit utiise
b) Le fait que le mot de passe ne transite pas sur le reseau, c'est une tres bonne chose. Tu crois que ton mot de passe transite sur le reseau avec Kerberos ? Bien sur que non, c'est du challenge-response. Quand au hash qui passe sur le reseau, ca fait un bail que ce n'est plus le cas.

Il y a le fait que la base n'est pas 'saltee' mais la de toute facon, c'est pas ca qui te permet d'acceder au systeme, parce qu'il faut de toute facon que tu aies acces au systeme en tant qu'admin pour acceder a la base des mots de passe. Quand a la raison de cela, de ce dont je me souviens, c'est du au fait de pouvoir faire une authentification reseau sans prompt.

Tu remarqueras que Samba est a la meme enseigne en passant…

Pour admin/non-admin, tu m'expliques la difference entre ce que Vista/Windows 7 font et Ubuntu/autres avec sudo ? Aucune difference. Si j'arrives sur le compte d'un Ubuntu, j'ai juste besoin d'attendre un peu qu'il utilise sudo, et ensuite j'ai 15 minutes pour faire ce que je veux… Sudo rend un compte non-admin equivalent a un compte admin niveau securite. C'est plus une protection contre l'utiisateur lui-meme que contre les attaques.

C'est pas une attaque, c'est un constat. Les gens voient sur TF1, sur news.com ou autre un article disant "vulnerabiite dans Windows" (ou dans IE ou …).

Ils voient ca 2-3 fois et hop, ca leur suffit, Windows (ou IE ou…) devient automatiquement une bouse du point de vue securite, parce que bon hein, c'etait dans les news, c'est enorme !

Ils ne font pas l'effort d'aller voir ce qu'il y a de l'autre cote, si cette vulnerabilite qui a fait la une est vraiment differentes des vulnerabilites trouvees dans leur systeme prefere, etc… Il ne leur viendrait pas a l'esprit d'aller gratter pour voir quels procedes et efforts MS utilise pour trouver des failles, quel est l'effort similaire sur les produits OSS (quand il existe…), etc…

Non, c'est du jugement a la va-vite, un peu comme juger Franck Ribery uniquement sur son apparition dans Telefoot a la CDM 2010, en oubliant tout le reste.

J'ai une vision deformee ? Ben qui sait, peut-etre, mais force est de constater que ceux qui ne suivent pas ce modele sont plutot discrets alors, il y en a quelque uns, mais ce ne sont clairement pas les plus vocaux.

C'est quoi "recemment" ? Et compare a qui ?

IIS etait connu pour etre un trou beant, jusqu'a IIS 6. IIS 6 c'est sorti en 2005 et depuis il fait beaucoup mieux qu'Apache, il y a plus de 8 ans. On va dire que c'est un siecle en informatique.

Windows l'OS, c'est depuis Vista, en 2007. SQL Server 2005 en… 2005, etc…

Tu veux voir c'est quoi une blague niveau securite ? Ca : http://googleonlinesecurity.blogspot.com/2014/01/ffmpeg-and-thousand-fixes.html

a) C'est de l'open source, en 2012-2014, les bugs se comptent par centaines
b) Aucune des failles n'a ete trouvee en lisant le code, toutes ont ete trouvees par un fuzzing assez primitif (vous savez, le truc que je dis depuis des annees et qui amene mes posts en negatif a chaque fois)
c) Certaines des failles etaient la depuis longtemps
d) Ils disent clairement que le code est tellement mauvais qu'il vaut mieux ne pas l'utiliser
e) C'est pas un projet obscur et nouveau de l'open source hein… C'est un projet qui est la depuis un moment, et qui est utiise par bcp de gens.

Mais comme tout, personne ici n'etait meme au courant du fait que ffmpeg est une passoire, parce que c'etait pas sur slashdot, parce que c'etait pas sur news.com, parce que les gens ici quand il s'agit de securite, ils se contentent de regarder TF1 plutot qu'aller voir le documentaire qui va en profondeur sur la 5eme a minuit, et ensuite ils s'obstinent a dire que parce que TF1 l'a dit, alors il n'y a rien d'autre de vrai.

Non, il faut arrêter de te la jouer victime : le problème est que tu racontes des conneries bien plus souvent que des trucs biens (la dernière fois que je t'ai moinsé, c'est parce que tu veux absolument que ton employeur ai un "historique en sécurité" de la mort qui tue, alors qu'il y a eu plein de preuves du contraire dans le passé même si ça s'améliore aujourd'hui et plein d'experts en sécu qui le disent).

Tu vois, c'est ca qui est drole… L'obsession que je suis 'vendu' ou que je courre pour 'mon employeur', etc…

Le truc amusant, c'est que j'ai quitte MS il y a 3 mois, et que maintenant je bosses pour une boite qui pourrait bien etre le plus grand utilisateur de Linux de la planete, ou sinon au moins le 2eme derriere Google. Eh oui, je passe mes journees sur Linux.

La depeche sur PhpCompta, tu n'as meme pas pris le temps de lire ce que j'ecrivais et ce que l'article disait tellement tu etais sur de ton fait, sur que j'etais en train de pousser 'mon employeur', etc…

C'est ca qui est gonflant, parce que tu n'es pas du calibre d'Albert, et pourtant tu es tombe dans ce travers aussi.

Ben j'aimerais bien pouvoir dire ce que j'ai a dire, le probleme est que le systeme ici l'empeche. La preuve etant que mes commentaires sont caches a bcp de gens par defaut, et que je ne peux pas poster de journaux. C'est une dictature de la pensee unique un peu ici.

Si tu sens arriver la limite de karma qui empêche de poster, il sera toujours temps de se greffer à une dépêche (comme celle d'un kernel), ou de faire une opération de sauvetage de karma.

On va dire que c'est chiant ? Tu t'amuserais combien de temps a faire ce petit jeu simplement pour compenser un systeme de merde et le comportement de certains idiots de la pensee unique ?

Cela dit, tu n'es pas systématiquement moinssé lorsque tu postes du contenu parlant de Microsoft ou de Windows, comme on peut le constater avec ce journal.

C'est pas systematique, c'est juste le cas 95% du temps…

C'est un peu un cycle vicieux. J'ai comme tout le monde le sait pour habitude de me faire moinsser au moindre post que je fais ayant trait a MS, peu importe son contenu, ce qui me casse les couilles et m'incite a venir de moins en moins, ce qui baisse mon karma du meme coup.

C'est plutot con, parce que ca m'empeche de poster des journaux, et sur les 2-3 derniers mois, ca fait bien 2-3 journaux en tout cas que je n'ai pas pu mettre qui auraient ete interessants pour certains, mais bon, les admins du site n'ont semble t'il pas l'intention de corriger ce systeme de notation pourri. Visiblement ils n'ont pas de problemes avec le fait qu'un gars soit discrimine dans ses possibilites sur le site simplement car il a une opinion differente de certains groupes vocaux par leurs votes sur les commentaires.

Mais on est pas Vendredi.

Moi je dis qu'il y a troll et troll. Lorsque il y a de la valeur technique et de l'information dedans, c'est un bon troll.

Bref, on est donc d'accord sur ce que je disais plus haut. Windows a un bel historique de passoire démontré par des années de malware, virus, adware et j'en passe. Que Linux n'ai pas eu ce genre de déboire, ça ne t'interpelle pas, soit

Bel historique de passoire ? Il y a 10 ans oui, ces dernieres annees non. Les virus ca fait longtemps qu'on ne les voit plus. Les malwares/adware c'est parce que l'utilisateur choisit de les installer dans l'enorme majorite des cas, et ca, quel que soit l'OS tu pas faire grand chose contre.

Donc non, ca ne m'interpelle pas. Ca m'interpellera le jour ou tu me donneras une explication technique sur une faiblesse dont ils tirent partie qui n'est pas presente sur d'autres systemes.

Et ca tu ne l'as toujours pas fait. Tu n'as pas amene un seul element technique. Tu m'as liste des trucs genre "je comprends pas pourquoi un driver peut ecire dans la registry" qui ne fait rien d'autre que montrer que tu ne comprends pas qu'un kernel a tous les droits, etc…

Tu m'amenes une explication technique d'une faiblesse de Windows compare a Linux ? Allez, ca devrait etre simple a t'entendre. Ces trucs qui verolent si facilement Windows comme tu le dis, ils doivent bien passer par quelque part si ce n'est pas par l'utilisateur, donnes moi donc ce conduit.

Si tu ne sais pas lequel c'est apres moult recherches, ben faudrait peut-etre penser a revoir tes prejuges.

A toi de choisir des questions dont toi seul connait la reponse.

La securite totale a ses limites, et plus elle est haute, plus elle est compliqueee et non-user-friendly.

Tout depend de comment tu le fais. Si tu poses des questions (le nom de ton 1er chien, la marque de ta chaussette droite, etc…) avant d'envoyer un e-mail de reset, c'est deja bien plus difficile.

A son addresse e-mail ? Avec un e-mail qui a de fortes chances de passer en clair sur le reseau ? Qui va arriver on ne sait quand ? (genial pour automatiser quoi que ce soit…) Si son address e-mail est recyclee comme Yahoo s'est mis a faire tu envoies le lien a un inconnu ? etc…

Moi c'est bien mon impression.

Depuis je dirais un au ou deux, ca a bien empire. La plupart des gens ne parlent pas technique, ils font du communautaire (mon X est meilleur que le tien, si tu oses dire l'inverse je te flame/moinsse/etc…)

Le contenu 'purement technique' a pas mal baisse, les gens qui etaient interesses par ces discussions (j'imagines que c'est en reaction) sont moins presents, au profit des gens qui ne sont interesses qu'a troller sur leurs chouchous preferes de maniere emotionelle et avec peu d'argumentation technique.

Bref, c'est devenu bcp moins amusant d'etre par ici pour certains qui attachent de l'importance a ce cote la.

Passer en 'admin' sous Windows sans passer par l'accord de l'utilisateur ça n'a jamais existé? Pourtant les exploits pleuvent depuis plus de 15 ans…

Par des failles ? Evidemment, et ca existe toujours, comme sous Linux.

J'attend toujours qu'on m'explique pourquoi un drivers hacké, un service corrompu ou une faille dans un logiciel de PDF donne le droit à du code de modifier le boot, les fichiers systèmes, la base de registre, les drivers… Bref, Windows, sécurisé? non.

Un driver c'est normal, il tourne dans le noyau, c'est idem sous Linux.
Pour le service, cela depend de ses permissions, idem sous les 2 systemes.
Quand au logiciel PDF, tu m'expliqueras comment un logiciel PDF tournant en simple utilisateur va modifier le boot sous Windows…

Il n'y a aucun OS grand public qui existe et qui est different sur ces points.

Linux sensible à ce genre de chose, oui aussi, mais beaucoup moins. Le nombre de services qui peuvent passer root diminue, pour les applis c'est quasi inexistant. Des systèmes comme AppArmor font ce qu'ils peuvent pour limiter la casse pour le reste.

Bref, comme Windows quoi. Tu ne m'a rien montre ici que Linux a et Windows pas.

Pour les trucs crades des "clows", tu ne trouves pas gênant qu'il soit permis de les faire? et de manière si facile avec un simple glisser-déposer?

LOL, et tu voudrais que le systeme fasse quoi exactement ? Qu'il interdise a l'admin de modifier son systeme ?

Explications techniques? Faut il détailler les différents moyens utilisés ces 5 dernières années pour accéder à la base de registre, modifier des fichiers système, infecter des drivers, le MBR, etc… sans que l'utilisateur n'ai eu a faire autre chose que de surfer.

Oui j'aimerais bien que tu me detailles comment un soft tournant sous un compte non-admin peut faire ca. Et ne me sort pas que tous les comptes sont admin, ca fait un bon moment maintenant que les comptes meme admins utilisent un token restreint et il faut passer par UAC pour elever a full-admin, l'equivalent de sudo.

Voila pour quelques winner, toujours en vente et qui n'ont pas fini de poser problèmes.

Et tu veux que MS ou Windows fasse quoi quand des clowns bloquent les updates et remplacent les dlls du systeme ? L'admin est seul maitre a bord, tout comme sous Linux, si il decide de se tirer dans le pied (ou laisse un de ses contractants lui tirer dans le pied comme dans ce cas), c'est clairement pas la faute du systeme.

Le systeme lui-meme ne souffre d'aucun de ces problemes. Si t'as un editeur qui fait des trucs crades, va lui crier dessus. Tu n'aurais pas idee de gueuler sur Linux si Oracle(ou autre) t'installes de force une libc maison sur le systeme quand meme ?

De mon point de vue un système sécurisé ne permettrait pas le centième des possibilités de modification du système avec lesquels jouent les virus une fois installés.

Ah oui ? Donnes moi donc un exemple de modif realisable sous Windows et pas sous Linux

On notera également que pour un programme téléchargé par un utilisateur, il est beaucoup moins facile sous linux de modifier le système.

De nouveau, donne mois la difference. Je veux l'explication technique donc.

A cela s'ajoute la politique des éditeurs et de Microsoft, je ne sais combien de grand éditeurs qui ont des logiciels nécessitant tout ou partie de la liste suivante :

Ben justement, tu nous donnes des exemples de logiciels un tant soit peu importants qui rentrent dans ces categories ?

Je suis sur que tu vas nous trouver des softs d'il y a 10 ans, ou un truc pourri ecrit par 3 pekins, mais je parles de vrais softs, que bcp de gens utilisent.

OK, résumons donc : toute étude, tout expert qui ne conclut pas que Windows et les produits Microsoft sont sûrs est débile.
Comme ça, c'est plus simple.

Vraiment, tu es tellement obsede par l'idee que je ne pousse que MS / Windows que tu ne fais meme pas attention a ce que je dis. Ca te tenterait de lire un peu en profondeur plutot que sauter sur ton clavier des la 1ere seconde ?

On va prendre la methode du clown qui a poste l'article sur le site omgubuntu et l'appliquer correctement (= donner a chaque OS 1 point si il n'y a pas de commentaire negatif sur une section)

Ubuntu : https://www.gov.uk/government/publications/end-user-devices-security-guidance-ubuntu-1204/end-user-devices-security-guidance-ubuntu-1204

Tu regardes les 12 sections, il y a des commentaires negatifs sur 3 sections :
- VPN pas certifie
- encryption disque pas certifiee
- pas de secure boot

Windows 8 : https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7-and-windows-8/end-user-devices-security-guidance-windows-7-and-windows-8

Si tu lis les commentaires plutot qu'aveuglement compter sans lire les commentaires, tu te rends compte que pour Windows 8, il n'y a de commentaires negatifs que sur 2 sections :
- Bitlocker pas certifie
- L'entreprise ne peut pas forcer d'update des apps du Metro store (ca me surprendre mais bon qui sait)

Le reste concerne Windows 7, et le clown qui a poste l'article n'a clairement pas meme fait l'effort de lire, et s'est contente de compter les sections sans aucun commentaire.

Resultat, selon cette methode, Windows 8 est meilleur qu'Ubuntu(et Windows 7 est equivalent avec 9 points), et pourtant je dis que c'est une comparaison stupide et sans aucun sens

Bref, fais un minimum d'effort pour lire ce que les gens ecrivent plutot que sauter sur ton cheval des le 1ere paragraphe. Je suis en train de dire qu'une methode qui montre Windows sous un meilleur jour qu'Ubuntu est stupide, mais dans ton excitation et obsession tu n'es meme pas foutu de lire ce que j'ecris.

Merci pour cet enorme moment d'humour.

Maintenant tu fais un pas de plus, tu vas sur le site de GCHQ, et tu regardes ces 12 sections. Tu me montres en quoi ces sections sont des "bon / pas bons" ou autre evaluation comparative.

Le clown qui a poste ca sur le site omgubuntu.co.uk n'a clairement rien compris a ce qu'il a lu sur le site de GCHQ.

Tu prends par exemple Windows 8 ( https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7-and-windows-8/end-user-devices-security-guidance-windows-7-and-windows-8 ) et tu te rends compte que le texte present dans la recommendation 1 et dans la 4, ce n'est rien de negatif, c'est une explication. Resultat, si on utilise le jugement totalement pourri du clown qui a poste l'article, ca laisse Windows 8 avec 2 entree, moins que les 3 d'Ubuntu.

Mais vu que c'est une maniere totalement debile de juger un systeme, ca n'a vraiment aucun sens. Et c'est bien pour ca que GCHQ n'a jamais mis cela comme un moyen de comparaison entre systemes, mais simplement une recommendation pour l'usage de ces systemes individuellement.

Non ce n'est pas vrai : lalibre.be, lesoir.be dhnet.be…. Utilisent PHP avec Symphony2

C'est sympa ta liste… Moi je peux probablement te faire une liste de sites qui viennent d'etre ecrit en Perl ou en C si je cherches bien.

J'ai pas dit que PHP a disparu, j'ai dit qu'il commence a etre evite a cause de ses problemes de securite. Il ne va evidemment pas disparaitre en 3 jours hein.

Le problème avec le PHP est le même qu'avec le C : on peut faire beaucoup de choses même des trous de sécurité

T'as tout dit la, et c'est bien le probleme. PHP a des parametres par defaut qui sont dangereux, que la plupart des developpeurs ratent sans parler du reste.
D'autres frameworks n'ont pas ces problemes. Tout comme plein de gens se sont mis a C# et Java plutot que C car au final, c'etait plus sur et plus simple.

Et oui, IE8… avec ActiveX. Mais evidemment, si tu prends ActiveX sans meme comprendre comment son integration a changer dans IE8 c'est normal.

Tout comme il est normal que tu aies une vision de la realite deformee si tu te bases sur une page wikipedia pour te faire une opinion de la securite d'un browser, ou si tu te contentes de lire ce qui passe sur slashdot ou linuxfr.

Il y a des pontes de l'industrie de la securite, des gens qui sont experts dans le domaine, qui disent quasiment tous la meme chose, faudrait penser a mettre ca dans la balance et accepter de revoir ses prejuges.

Perso quand d'un cote j'ai Didier Deschamps, Laurent Blanc et Luis Fernandes qui choisissent une tactique, et de l'autre j'ai Pierre Menes et Thierry Roland qui font des vannes dessus, ben mon camp est vite choisi hein…

http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/

Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?

Windows 7 is slightly more difficult because it has full ASLR (address space layout randomization) and a smaller attack surface (for example, no Java or Flash by default). Windows used to be much harder because it had full ASLR and DEP (data execution prevention). But recently, a talk at Black Hat DC showed how to get around these protections in a browser in Windows.

In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?

No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The organizers don’t choose to use Linux because not that many people use it on the desktop. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.

…

In your opinion, which is the safer combination OS+browser to use?

That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!

Ma source est d'anciens collegues et personnes de l'industrie que j'ai rencontre et revois de temps en temps autour d'une biere, rien d'officiel sur une page web que je sache car ce sont des decisions d'entreprise internes.

Je ne connais pas HipHop et HHMV assez pour savoir leur impact en terme de securite. De ce que j'en ai lu, non car ils s'occupent principalement de performance et de la maniere dont le code PHP est execute plutot que de nettoyage de ce que PHP permet de faire. Vu les ressources que Facebook a investi j'imagines qu'ils se sont assure que leur version interne de PHP a elimine nombre des problemes intrinseques a PHP par contre (au prix de limitations ? peut-etre, je sais pas) histoire que leurs developpeurs ne tombent pas dedans, mais j'ai jamais entendu parler qu'ils aient publie ce qu'ils ont fait.