needs a écrit 329 commentaires

Au aurais-tu un lien ? Je n'arrive pas à trouver de source sur cet événement.

Effectivement, bien vu !

Pour l'instant uniquement 32 bit 64 bit x86 avec clang ou gcc. Et tous communiquent sans problèmes.

Mais je me fait trop de soucis, les seules fonctions que j'utilise sont celles de la famille ntohl() ! Bon du coups il faudrait que je voie avec une architecture dont le boutisme est différent de celui du x86. Et cela sera fait, et si problème il y a, il sera rapidement repéré car j'ai pas mal de tests qui concernent uniquement le protocole et les communications sur le réseau :)

Haha, j'utilise le préprocesseur pour générer le code qui sérialise les structures. Un genre de X macros mais poussé un peu plus loin que la simple génération d'énumération.

J'ai un fichier qui contient ceci:

BEGIN(hello)
    FIELD_8(version)
    FIELD_16(id)
    FIELD_32(name)
END()

Et par exemple je génère la structure comme ceci:

#define BEGIN(name)                                                     \
    struct name {
#define FIELD_8(name)                                                   \
        uint8_t name;
#define FIELD_16(name)                                                  \
        uint16_t name;
#define FIELD_32(name)                                                  \
        uint32_t name;
#define END()                                                           \
    };
#include "fichier_qui_contient_les_definitions.def.h"
#undef  BEGIN
#undef  FIELD_8
#undef  FIELD_16
#undef  FIELD_32
#undef  END

J'utilise ce trick à mainte reprise pour générer les fonctions qui sérialisent les structures, etc… Bon la je le montre de façon simple, mais l'ensemble est beaucoup plus complet et permet de sérialiser plein de choses :)

Pour packed je suis pas trop pour, c'est pas très portable et cela pose des problèmes de performances non ? Je préfère avoir une structure non 'packée' sur laquelle je peux travailler et 'packer' manuellement au moment de l'envoi sur le réseau.

Merci bien :)

Une dernière petite question: est-ce-que travailler avec des uint*_t en mémoire plutôt que les classiques int, long est moins performant ?

J'imagine que non, mais bon, je ne connais pas encore tout les détails de ce genre de choses :)

Ah c'est pas mal, je n'avais pas pensé à ce genre d'astuce :)

À ceux qui moinssent : allez développer une appli qui communique avec DBus.

J'utilise -42 aussi, mais je viens de penser à un truc, il pourrait avoir un mode (-314 par exemple) qui montre tout les commentaires comme -42 et qui cache les notes. Voir même qui enlève aussi pertinent / inutile ainsi que les avatars. Du coups, tout devient 'neutre' et la seule manière d'apprécier un commentaire, c'est de le lire. Et niveau implémentation, ça devrait pas être trop compliqué non ?

Voir même que ce mode pourrait tout rendre anonyme, c'est à dire, randomisation des pseudos, pas d'avatar, pas de date, pas de note, pas de moyen de juger… Ça pourrait vraiment avoir un intérêt mais évidemment se serait un peu plus chiant à implémenter.

Le moinssage sur linuxfr, à la base, c'était uniquement pour réduire le spam. À peu près tout le monde l'utilise maintenant pour donner son désaccord. Je suis pour changer cela en:

3 boutons: d'accord, pas d'accord, spam

ou

1 bouton: j'aime / d'accord

Voir même juste un bouton: spam. Parce qu’à mon avis, on devrait juste juger de la qualité du commentaire en le lisant, pas en regardant sa note.

Pète un coup, ça ira mieux.

Non mais vraiment… Je te suggeres un minimum d'humilite mon cher.

J'en ai. Clamer qu'un code mal écrit doit être réécrit, que faire de la sécurité c'est aussi écrire du code propre, que faire du bon design et bien coder est essentiel, ce n'est pas 'manquer d'humilité'.

Faire de l'analyse statique sur un OS, ou tu as couche apres couche de librairies, c'est pas comme faire de l'analyse statique sur un soft de 10'000 lignes.

Je ne parlais pas uniquement de l'analyse statique, mais de toutes les techniques qui peuvent s'appliquer sur un code source lisible. Si le code source de Windows n'est pas plus informatif que son code assembleur, alors c'est que le code est pourris.

Windows n'est pas arrive la ou il est en etant une merde ecrite par des developpeurs incompetents, le code est lisible et maintenable pour son enorme, enorme majorite (toujours des exceptions ici ou la).

Windows est arrivé la ou il en est majoritairement car il y a d'excellents commerciaux qui bossent (ou qui bossaient) chez Microsoft, pas parce-que ce truc était innovant ou bien écrit.

L'OS a ete architecture par des gens qui sont des experts, le developpeur moyen chez MS est au dessus de la moyenne, et ils ont des outils d'analyse qui sont loin devant la plupart des autres boites.

Je n'adhère pas aux arguments d’autorités. Et vu les APIs Windows bas niveau, ce n'est pas du tout bien architecturé, mais alors pas du tout, de mon point de vue. Je préfère largement les principes qui régissent le standard Posix et la philosophie Unix. Si les bases du système sont pourrie, il y a de très forte chance pour que le haut du système le soit aussi, ce que tu sembles confirmer.

Si tu veux faire l'analyse statique de l'explorateur de fichier lors d'acces a des fichiers par reseau par exemple, tu te retrouves a avoir une analyse de l'arbre d'execution qui va sur des etages entiers. C'est incroyablement complexe [passage coupé]

Si l'explorateur fichier de Windows est [nécessairement] incroyablement complexe, alors je doute sérieusement de la compétence des personnes qui ont architecturé le système. Sous Linux, des explorateurs simple qui font bien leur boulot comme Thunar ne sont pas incroyablement complexe.

Alors effectivement, des bonnes bases ne font pas un bon système, mais elles aident énormément. Note que je suis bien conscient que le transfert sur le réseau de fichiers n'est pas une tache simple, même chez les Unix-like (voir plus bas).

Mais qu'on ne se méprenne pas, architecturer un OS est une chose extrêmement difficile. Je ne dit pas que j'aurais fait mieux, je ne dit pas que Unix est la manière de faire. Ce que je dit, c'est que en l'état, les bases de Windows sont moins bien que celles de Linux ou Unix.

Pour être franc, je pense aussi que la philosophie de Plan9 est mille fois mieux que celle d'Unix. Dans le case de Plan9 par exemple, ta problématique du transfert de fichier par le réseau avec un explorateur de fichier serait vraiment moins complexe. L'aspect réseau étant bien mieux intégré au système que chez les Unix-like ou Windows, il a peu de couches. Ce serait, d'un point vue sécuritaire, beaucoup plus facile à analyser.

Les pirates (gars qui copient des softs illegalement donc) non certainement pas.

Arf, ce n'était pas le bon mot, je pensais aux 'hackers', mais le mot ne plaît pas, les crackers alors ?

Et puis c'est pas comme si les backdoor c'est simple à trouver dans un code qui fait des dizaines de million de ligne (juste pour Windows), avec des couches de partout

Justement, le propos était de dire : sans code source, se serait encore pire. Je n'ai jamais dit que c'était simple, très très loin de la. Mais avoir les sources est un avantage vraiment non négligeable.

Tout a fait, le truc etant que Windows a deja passe 10 ans dans ces softs d'analyse statique. Dans l'etat actuel, soit tu prends un de ces softs, les mets en 'noisy' et tu te tapes 500 warnings pour 1 bug reel ce qui est une gageure au niveau revue des resultats, soit tu y vas de maniere externe.

Si c'est vraiment le cas, alors le code est très certainement de très mauvaise qualité. La bonne manière serait plutôt de réécrire les parties pourries pour qu'elles soient facilement analysable et maintenable. Plus c'est simple et bien pensé, moins il y aura d'erreurs grave. C'est aussi ça, faire de la sécurité.

Enleves un zero si ca te fait plaisir, c'est l'ordre de grandeur.

À mon avis, y'a bien plus que 700 ou 7 000 personnes, l’ordre de grandeur serait au moins de 70 000. Ce n'est pas le même ordre de grandeur.

Mes pseudo-statistiques sont basees sur le fait que mon boulot, avec de nombreux autres collegues dont certains sont la creme de la creme dans l'industrie securite, a ete precisement de trouver des failles dans cet OS, alors que j'avais acces aux sources, pendant 10 ans.

Tu multiplies ton effort par 7 000 et tu comprendra que c'est là la différence entre une équipe de 10 mecs qui sont dessus et une communauté qui regarde de temps en temps le code, sur la durée.

L'argument tient totalement. Les gouvernements sont parmis les rares groupes competents pour juger de la securite d'un programme.

Très très discutable. Je serait plus d'avis de dire que les chercheurs en sécurité, les pirates, les programmeurs sont aussi des personnes compétentes, au même titre que les gouvernements. C'est peut être une histoire de culture alors.

Ce n'est pas de la speculation, c'est ce qui se passe ici, ce que tu as exactement fais toi-meme qqe posts plus haut.

Hein ? Où ça ?

Super, tu entreras alors dans la section des 'quasi personne', et tu auras beau mettre ton nez dedans, les chances que tu y deceles des failles/backdoors simplement en lisant le code sont infiniment faible [passage coupé]

Il y a trouver des failles en testant au hasard et en analysant du code désassemblé, et il y a trouver des failles en testant au hasard et en analysant le code source. Il y a pléthore d'outil qui analyse statiquement du code C ou du code plus compréhensible que de l'assembleur et qui permettent d'orienter efficacement les recherches.

Il y a un monde, vraiment.

en comparaison d'autres techniques ne demandant pas le code.

C'est à dire ?

Deja il faut lire l'article. Tu y verras que la Chine fait cela comme moyen de pression car ils n'apprecient pas que MS ait arrete le support de XP.

Non tu as mal lut, (au pire vas chercher une autre source que celle ci), c'est belle et bien de la sécurité dont il est question.

Le passage que tu semble "citer", c'est celui ou Microsoft rassure en disant qu'ils continuent de délivrer Windows 7 aux gouvernements.

Ensuite tu decouvriras que la Chine n'a vise que Windows 8, pas Windows 7.

Raté, elle vise Windows tout court et cherche une alternative.

Je suis d'accord avec toi quand il s'agit de projets personnels. Mais dès que tu as une équipe qui bosse dessus, tu dois garder un code cohérent et maintenable. Tu devras forcer certaines personnes à faire des choses qu'elles n'ont pas l'habitude de faire. Je n'ai encore jamais vu de projet suffisamment gros qui ne cadre pas le champs des possibilités du langage utilisé.

Tu as bien fait de mentionner la Chine et la Russie. Personne n'est arrive a les faire plier. Et devines quoi, ils ont les sources, et ils sont pas trop pro-US

Aux dernières nouvelles, la Chine éradique complètement Windows de son administration gouvernementale. Et la raison serait que Windows serait un peu trop troué.

Tu parles comme si les gouvernements et autres grosses institutions sont facile à faire bouger. Là ou toi tu prends 1 heure pour installer un autre système, eux c'est des années voir des dizaines d'années. C'est pas du tout aussi simple que tu ne le laisse entendre.

Allez, on va dire que ca augmente les chances de 1/100000000 a 2/100000000 , un doublement !

Tu es entrain de dire que une personne sur 100 millions d'humains est capable d'identifier une backdoor dans le code de Windows. En gros, qu'il y a à peu près 70 personnes sur terre qui peuvent le faire.

Mais supposons que c'est vrai, cela voudrais dire en réalité que les sources de Windows sont totalement impénétrable, que c'est un immense plat de spaghetti. Dès l'instant ou Microsoft ouvrirait ses sources, les critiques pleuvraient et Microsoft serait grandement discrédité, il y aura de grande chances pour qu'un mouvement de masse de migration s'enclenche.

Mais bon, c'est de la pure spéculation, comme tes pseudo-statistiques de détection de failles.

Tu sais parfaitement que les raisons de garder le code en interne ont bien d'autres parametres que simplement la securite.

Oh que oui… Mais on ne peut pas avoir le beurre et l'argent du beurre. Tu ne peux pas parler sécurité quand tes sources ne sont pas ouvert au public.

Ben non justement. Il leur suffit de donner les sources a des gens/organismes qui sont de confiance pour le public, c'est tout.

Encore faut-il qu'ils soient compétent, et qu'ils aient accès au même source que celles qui ont servit à vendre Windows. Les gouvernements sont des "organismes qui sont de confiance pour le public", et pourtant… L'argument ne tient pas, si l'on souhaite être transparent, ont ne donne pas les sources à des privilégié, mais au public, sinon c'est de la mauvaise foi.

La realite est que si demain MS ouvrait les sources, ce qui se passerait est exactement ce que 'needs' a dit dans sa reponse : l'excuse ne sera plus que les sources sont fermees, mais que 'le code est trop gros, on ne peut pas etre sur'.

Je ne pense pas que c'est ce qu'il se passera, néanmoins, il y a un monde entre diffuser les sources aux privilégiés et ouvrir les sources au public. Ce que tu dis la est purement de la spéculation.

Les gens qui veulent absolument se convaincre qu'il y a des backdoors dans Windows, rien ne les fera changer d'avis, tout comme les gens qui croient que Jesus reviendra un jour sur terre.

On dirait bien que l'inverse soit vrai aussi :P

Ce critere a toujours ete le meme : quasiment personne ne regarde les sources

C'est totalement faux et sans fondement. Je rêve d'aller mettre mon nez dans les sources de l'OS utilisé par 90% de la population, et je suis certainement pas le seul.

"On" ne peut pas consulter les sources de BitLocker oui, les universites, gouvernements

Je suis rassuré. D’ailleurs, tu m'expliqueras pourquoi alors mon université n'a pas accès au code source de Windows. Attend, se serait pas les universités américaine qui coûte très très cher qui peuvent consulter le code source ? Et puis c'est pas comme si les backdoor c'est simple à trouver dans un code qui fait des dizaines de million de ligne (juste pour Windows), avec des couches de partout. Et puis bon, la backdoor pourrait aussi être dans les drivers par exemple.

Ce qui est étonnant avec TrueCrypt, c'est que pour le compiler sur Windows, il faut une lib qui date de 1994 ! De plus, les binaires du site sont effectivement signés mais il est assez difficile de les reproduire et confirmer qu'il n'y a pas de backdoor ou autre joyeusetés.

Sinon, je ne voie pas comment on peut avoir confiance en BitLocker, étant donné que c'est Microsoft qui est derrière. Si la NSA veut imposer la mise en place d'une backdoor, il y a de grande chance qu'elle y parvienne, et de plus, on ne peut pas consulter les sources de BitLocker. Pour un logiciel de chiffrage de disque, ça fait tâche.

Ça m'énerve, les nouveautés du C++11 ne font que complexifier le langage plus qu'autre chose. Mais comment voulez vous que des programmeurs apprennent et aient en tête les mille et une fonctionnalités du langage ? Beaucoup de projets font volontairement le choix d'utiliser qu'un sous-ensemble plus ou moins restreint du langage, pour que la barrière d'entré reste relativement basse.

Je souhaite d’ailleurs bien du courage à ceux qui vont implémenter ce genre d’éléments dans le compilateur, parce que dans le genre syntaxe qui pète tout, on est pas mal.

J'ai l'impression qu'ils (les auteurs de la norme C++11) essayent de faire des mécanismes pour obtenir du code ultra-générique mais ne se rendent pas compte que la contre partie est très importante. D'une part, le besoin de faire un code générique ne se rencontre que rarement, et d'autre part, ont perd souvent beaucoup en lisibilité et simplicité. C'est pas comme si c'était déjà difficile d'écrire du code illisible et non maintenable avec ce langage.

Et parfois c'est mieux d'avoir à écrire plus de ligne de code pour éviter d'empiler inutilement les couches. Parce qu’on écrit pas du code pour qu'il soit le plus concis possible, mais le plus simple et compréhensible possible.

Et non, ce n'est pas un troll, le C++ est beaucoup trop gros et sa courbe d'apprentissage ne fait que s'élever de norme en norme.

Cette bataille ? La guerre est perdue oui. Internet Le web c'était une idée géniale au début, maintenant c'est un gros centre commercial avec une caméra braquée à l’intérieur de mon cerveau.

Tous les échanges ne sont pas à base de requêtes HTTP…

qui ont grandement fait progressé le web

Mozilla oui, le W3C non.

C'est pas du tout positif ce que tu fais là, en agressant ton seul allié…

Il tire pas "à boulet rouge" sur Mozilla, il tire à boulet rouge sur le W3C, et il a pas vraiment tord, dans le sens ou proposer les DRMs c'est de base mauvais, qu'elles soient acceptées ou refusée par la suite.