Et ils n'avaient pas vu tout ce "merdier" (je reprends leurs mots) lors du précédent audit entrepris suite aux révélations d'une porte dérobée dans un des algorithmes de chiffrement?
A quoi est-ce que tu fais allusion exactement ? Si c'est l'affaire Gregory Perry alors il s'agissait d'accusations au sujet d'une backdoor dans la pile IPSec.
Rien à voir avec OpenSSL donc.
on est pas encore arrivé dans une phase de stabilisation et d'ailleurs les développeurs ne s'en cachent pas.
Je trouve que c'est complètement hallucinant de dire ça.
- Afin de bénéficier d'une maturité et d'un polissage suffisant, la sortie de Gnome 3.0 a été repoussé deux fois de suite (12 mois donc) par les devs du projet.
- Gnome 3.0 est finalement sorti il y a trois ans, en avril 2011.
- Gnome 3.12 est la septième version stable de Gnome 3.x.
Et, après tout ça, on ne serait même pas encore arrivé dans une phase de stabilisation et d'ailleurs les développeurs ne s'en cachent pas ??????????
Si c'est vraiment ce qu'ils pensent alors c'est à pleurer.
Nan, je suis juste déçu de plus pouvoir installer Gnome chez les gens normaux, je suis pas hyper fan de Unity et je ne regarde aujourd'hui plus que du coté de elementaryos pour une environnement simple…
Xubuntu est ton ami.
La distro la plus répandue et qui a un très bon support du matos + un bureau traditionnel et qui ne change pas tout d'une version à l'autre.
C'est parfait pour les gens normaux.
Tu peux aussi penser que le biais s'exerce en sens inverse. Les firmes qui ont la volonté de proposer des logiciels propriétaires de bonne qualité vont soumettre leur code à Coverity.
Les firmes qui se foutent de la qualité et dont le code propriétaire est dégueulasse ne vont même pas envisager d'utiliser Coverity.
Donc peut-être que la qualité moyenne du code proprio est encore bien pire que ce qu'on voit dans ce rapport.
Exim est le MTA par défaut de Debian. Je pense qu'il y a un certain nombre de serveurs Debian sur cette planète tu ne crois pas ?
CUPS est le système d'impression utilisé par tous les Unix et par Mac OSX. Il me semble que là aussi ça fait un sacré paquet de monde…
D'après l'article Wikipedia il y a au moins GNOME, Exim, Mutt, wireshark et CUPS. Loin d'être négligeable donc.
Et si je regarde les dépendances inverses du paquet libgnutls26 sur ma Xubuntu j'ai ça :
Ben si. Des bugs il y en a dans tous les logiciels, même les mieux écrits et les plus scrutés (par exemple OpenSSH).
Le problème spécifique d'OpenSSL c'est que d'après les spécialiste qui ont regardé son code source c'est une horreur sans nom, une abomination absolue (cf les divers articles à ce sujet).
Donc même si GnuTLS a déjà eu des bugs (et, encore une fois, quel logiciel n'en a pas ?), ce serait quand même un immense progrès que de jeter OpenSSL et de le remplacer par GnuTLS. D'autant plus que la LGPL est assez permissive.
Faux, je peux le prouver : je ne lui reproche rien du tout et le remercie de faire ce qu'il fait, ce qui rend par définition de "tout le monde" ta phrase fausse.
Tu fais exprès de jouer au boulet ?
Par "tout le monde" j'entends "les gens impliqués dans le développement de Linux". Et toi tu fais semblant de prendre ça au pied de la lettre comme si j'incluais également le paysan du fin fond de la Mongolie.
Oui je te confirme que ce paysan ne reproche absolument rien à Spender.
Mais bon j'arrête là parce que tu as un talent particulier pour toujours avoir le dernier mot, quel que soit le sujet.
L'idée c'est de boucher progressivement les infos leak afin que la défense KASLR devienne plus efficace (sachant que ça restera une défense statistique et pas absolue).
Je ne pense pas que quiconque rejette les arguments de Spender sur le fond, c'est juste que, pour Kees Cook, le jeu en vaut la chandelle puisque ça ajoute un peu de protection sans enlever grand chose; Et puis, selon l'article LWN, le système sera amélioré par la suite (retour de l'hibernation, augmentation du nombre de slots au delà de 512, etc).
tu viens de dire que tu aimes la politique de Microsoft en termes de sécurité
Et après tu t'étonnes qu'on te tape dessus parce que tu racontes n'importe quoi.
En quoi la politique de sécurité de Microsoft (à l'époque, parce qu'ils ont changé depuis) était comparable à l'actuelle politique suivie par les mainteneurs Linux ? Autrefois Microsoft se foutait royalement de la sécurité et seul le "time to market" comptait. Depuis ils ont bien appris leur leçon et ils ont maintenant une politique assez efficace.
Donc évoquer Microsoft comme tu le fais n'a aucun sens à part le plaisir d'agiter un chiffon rouge pour faire dérailler la conversation.
Et cela n'a absolument rien à voir avec la nécessité de faire des compromis entre plusieurs buts contradictoires.
C'est sûr que c'est confortable pour Spender de cracher sur les devs Linux quand on se branle royalement des perfs du noyau patché Grsecurity/PaX.
Regarde donc le journal que j'avais écris à l'époque sur ces perfs : https://linuxfr.org/users/patrick_g/journaux/les-performances-d-un-noyau-avec-le-patch-pax
Les résultats des micro-benchmarks sont absolument catastrophiques !
Un peu facile de taper sur une personne qui a le malheur de ne pas rentrer dans le moule "gentil qui fait tout comme les mainteneurs upstream et/ou certains utilisateurs attendent".
Tu crois que je suis le seul à lui taper dessus ? Tout le monde lui reproche son attitude infecte, son arrogance inouïe ,sa propension à se faire mousser en permanence et son incapacité absolue à travailler avec les autres.
Bien entendu il est très compétent, et là personne ne remet ça en cause…mais des gens compétents il y en a d'autres (par exemple Kees Cook, l'auteur de KASLR). Pour bosser sur le noyau il ne suffit pas d'être compétent, il faut collaborer avec les autres puisque c'est un projet collectif et il faut accepter les compromis puisque c'est un noyau généraliste.
Sauf que tu as 511 chances sur 512 de faire planter le noyau quand tu tentes d'en prendre le contrôle. Et un plantage noyau ça a tendance à se remarquer un peu plus qu'un plantage de process en userspace.
Et tout ça c'est sans évoquer les autres bénéfices du patch (protection de la table IDT par exemple).
Je pense que kASLR n'est pas une bonne idée. Les raisons sont simples et elles sont détaillés dans l'article sur le blog/forum de grsecurity
Sauf que Spender est un maximaliste qui ne pense qu'à la sécurité et se fiche de tout le reste (perfs, portabilité, etc). Les mainteneurs du noyau eux doivent faire des choix et des compromis.
Dans l'article LWN dédié on comprend bien que KASLR n'est pas une solution miracle mais que ça apporte quand même des bénéfices non nuls en terme de sécurité et sans aucune dégradation des perfs.
Je ne comprends même pas que cette fonction n'existe pas de base. Il s'agit de ne pas faire quelque chose (le réencodage) donc pourquoi est-ce que ce n'est pas présent dans le soft ?
Tails m'a l'air focalisé sur l'utilisation en tant que live-cd ou live-usb.
De plus Tails semble porté par un team et être plus complet. Whonix est juste une collection de scripts appliqués sur une Debian.
[^] # Re: et ca compile ?
Posté par patrick_g (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 10.
Elle est surtout très ouverte sur les exploits…
[^] # Re: GNU TLS
Posté par patrick_g (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 5.
LGPL pour GnuTLS non ?
[^] # Re: précédent audit
Posté par patrick_g (site web personnel) . En réponse au journal OpenSSL est mort, vive (le futur) LibreSSL. Évalué à 10.
A quoi est-ce que tu fais allusion exactement ? Si c'est l'affaire Gregory Perry alors il s'agissait d'accusations au sujet d'une backdoor dans la pile IPSec.
Rien à voir avec OpenSSL donc.
[^] # Re: Ça me fait de la peine... Du super travail, mais au final...
Posté par patrick_g (site web personnel) . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à 10. Dernière modification le 18 avril 2014 à 10:02.
Je trouve que c'est complètement hallucinant de dire ça.
- Afin de bénéficier d'une maturité et d'un polissage suffisant, la sortie de Gnome 3.0 a été repoussé deux fois de suite (12 mois donc) par les devs du projet.
- Gnome 3.0 est finalement sorti il y a trois ans, en avril 2011.
- Gnome 3.12 est la septième version stable de Gnome 3.x.
Et, après tout ça, on ne serait même pas encore arrivé dans une phase de stabilisation et d'ailleurs les développeurs ne s'en cachent pas ??????????
Si c'est vraiment ce qu'ils pensent alors c'est à pleurer.
[^] # Re: Week-end ? Non
Posté par patrick_g (site web personnel) . En réponse au journal Week-end \o/. Évalué à 2.
Bah ça pourrait être les noces de son frère ou sa soeur et il serait là en qualité de témoin.
[^] # Re: Week-end ? Non
Posté par patrick_g (site web personnel) . En réponse au journal Week-end \o/. Évalué à 4.
Tes noces à toi ?
[^] # Re: Depuis GNOME 3.12
Posté par patrick_g (site web personnel) . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à 9.
Xubuntu est ton ami.
La distro la plus répandue et qui a un très bon support du matos + un bureau traditionnel et qui ne change pas tout d'une version à l'autre.
C'est parfait pour les gens normaux.
[^] # Re: Depuis GNOME 3.12
Posté par patrick_g (site web personnel) . En réponse à la dépêche GNOME 3.12 : sans domicile. Évalué à 5.
Sérieusement ?
Je croyais que Photos c'était un remplaçant pour Eye of Gnome…donc ça devrait gérer les photos en local quand même non ?
[^] # Re: Biais
Posté par patrick_g (site web personnel) . En réponse au journal Qualité du logiciel : le logiciel libre est bien meilleur que le propriétaire ! . Évalué à 10. Dernière modification le 17 avril 2014 à 12:39.
Tu peux aussi penser que le biais s'exerce en sens inverse. Les firmes qui ont la volonté de proposer des logiciels propriétaires de bonne qualité vont soumettre leur code à Coverity.
Les firmes qui se foutent de la qualité et dont le code propriétaire est dégueulasse ne vont même pas envisager d'utiliser Coverity.
Donc peut-être que la qualité moyenne du code proprio est encore bien pire que ce qu'on voit dans ce rapport.
[^] # Re: Code inutile
Posté par patrick_g (site web personnel) . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 0.
Exim est le MTA par défaut de Debian. Je pense qu'il y a un certain nombre de serveurs Debian sur cette planète tu ne crois pas ?
CUPS est le système d'impression utilisé par tous les Unix et par Mac OSX. Il me semble que là aussi ça fait un sacré paquet de monde…
[^] # Re: Code inutile
Posté par patrick_g (site web personnel) . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 2.
D'après l'article Wikipedia il y a au moins GNOME, Exim, Mutt, wireshark et CUPS. Loin d'être négligeable donc.
Et si je regarde les dépendances inverses du paquet libgnutls26 sur ma Xubuntu j'ai ça :
[^] # Re: Code inutile
Posté par patrick_g (site web personnel) . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 8. Dernière modification le 16 avril 2014 à 18:18.
Ben si. Des bugs il y en a dans tous les logiciels, même les mieux écrits et les plus scrutés (par exemple OpenSSH).
Le problème spécifique d'OpenSSL c'est que d'après les spécialiste qui ont regardé son code source c'est une horreur sans nom, une abomination absolue (cf les divers articles à ce sujet).
Donc même si GnuTLS a déjà eu des bugs (et, encore une fois, quel logiciel n'en a pas ?), ce serait quand même un immense progrès que de jeter OpenSSL et de le remplacer par GnuTLS. D'autant plus que la LGPL est assez permissive.
[^] # Re: Code inutile
Posté par patrick_g (site web personnel) . En réponse au journal journal bookmark : vers un fork d'OpenSSL ?. Évalué à 8.
C'est quand même dommage de devoir réécrire tout OpenSSL quand on peut utiliser GnuTLS non ?
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par patrick_g (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 10.
Évidement que c'est désactivé par défaut.
+config RANDOMIZE_BASE
+ bool "Randomize the address of the kernel image"
+ depends on RELOCATABLE
+ depends on !HIBERNATION
+ default n
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par patrick_g (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 10.
Tu fais exprès de jouer au boulet ?
Par "tout le monde" j'entends "les gens impliqués dans le développement de Linux". Et toi tu fais semblant de prendre ça au pied de la lettre comme si j'incluais également le paysan du fin fond de la Mongolie.
Oui je te confirme que ce paysan ne reproche absolument rien à Spender.
Mais bon j'arrête là parce que tu as un talent particulier pour toujours avoir le dernier mot, quel que soit le sujet.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par patrick_g (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 7.
L'idée c'est de boucher progressivement les infos leak afin que la défense KASLR devienne plus efficace (sachant que ça restera une défense statistique et pas absolue).
Je ne pense pas que quiconque rejette les arguments de Spender sur le fond, c'est juste que, pour Kees Cook, le jeu en vaut la chandelle puisque ça ajoute un peu de protection sans enlever grand chose; Et puis, selon l'article LWN, le système sera amélioré par la suite (retour de l'hibernation, augmentation du nombre de slots au delà de 512, etc).
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par patrick_g (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 10.
Et après tu t'étonnes qu'on te tape dessus parce que tu racontes n'importe quoi.
En quoi la politique de sécurité de Microsoft (à l'époque, parce qu'ils ont changé depuis) était comparable à l'actuelle politique suivie par les mainteneurs Linux ? Autrefois Microsoft se foutait royalement de la sécurité et seul le "time to market" comptait. Depuis ils ont bien appris leur leçon et ils ont maintenant une politique assez efficace.
Donc évoquer Microsoft comme tu le fais n'a aucun sens à part le plaisir d'agiter un chiffon rouge pour faire dérailler la conversation.
Et cela n'a absolument rien à voir avec la nécessité de faire des compromis entre plusieurs buts contradictoires.
C'est sûr que c'est confortable pour Spender de cracher sur les devs Linux quand on se branle royalement des perfs du noyau patché Grsecurity/PaX.
Regarde donc le journal que j'avais écris à l'époque sur ces perfs : https://linuxfr.org/users/patrick_g/journaux/les-performances-d-un-noyau-avec-le-patch-pax
Les résultats des micro-benchmarks sont absolument catastrophiques !
Tu crois que je suis le seul à lui taper dessus ? Tout le monde lui reproche son attitude infecte, son arrogance inouïe ,sa propension à se faire mousser en permanence et son incapacité absolue à travailler avec les autres.
Bien entendu il est très compétent, et là personne ne remet ça en cause…mais des gens compétents il y en a d'autres (par exemple Kees Cook, l'auteur de KASLR). Pour bosser sur le noyau il ne suffit pas d'être compétent, il faut collaborer avec les autres puisque c'est un projet collectif et il faut accepter les compromis puisque c'est un noyau généraliste.
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par patrick_g (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 10.
Sauf que tu as 511 chances sur 512 de faire planter le noyau quand tu tentes d'en prendre le contrôle. Et un plantage noyau ça a tendance à se remarquer un peu plus qu'un plantage de process en userspace.
Et tout ça c'est sans évoquer les autres bénéfices du patch (protection de la table IDT par exemple).
[^] # Re: Sécurité: Contournement de kASLR par Brad Spengler (grsecurity)
Posté par patrick_g (site web personnel) . En réponse à la dépêche Sortie de Linux 3.14. Évalué à 10. Dernière modification le 02 avril 2014 à 07:28.
Sauf que Spender est un maximaliste qui ne pense qu'à la sécurité et se fiche de tout le reste (perfs, portabilité, etc). Les mainteneurs du noyau eux doivent faire des choix et des compromis.
Dans l'article LWN dédié on comprend bien que KASLR n'est pas une solution miracle mais que ça apporte quand même des bénéfices non nuls en terme de sécurité et sans aucune dégradation des perfs.
[^] # Re: Internet dérégulé
Posté par patrick_g (site web personnel) . En réponse au journal DRM sans fin. Évalué à 7.
Un lien fort utile : http://politiquedunetz.sploing.be/2013/07/les-mots-ont-un-sens-parler-de-monopole-du-droit-dauteur-pour-sauvegarder-nos-libertes/
[^] # Re: Mon avis
Posté par patrick_g (site web personnel) . En réponse au journal Fin du support de MS Windows XP. Évalué à 3.
Je ne vois pas les avatars, j'ai coché la case "Ne pas afficher les avatars sur le site" dans mes préférences Linuxfr.
[^] # Re: Mon avis
Posté par patrick_g (site web personnel) . En réponse au journal Fin du support de MS Windows XP. Évalué à 10.
Ta mère est un mutant surpuissant venu de l'espace par rapport à la mienne.
# Faut pas rêver
Posté par patrick_g (site web personnel) . En réponse au journal devenez un développeur linux. Évalué à 10.
Il s'agit de parvenir à avoir un patch qui soit accepté dans la branche principale….et pas de devenir mainteneur.
Mais excellente initiative.
[^] # Re: Structure commerciale/associative pour les dons
Posté par patrick_g (site web personnel) . En réponse au journal Appel à Dons chez Pitivi. Évalué à 3.
Je ne comprends même pas que cette fonction n'existe pas de base. Il s'agit de ne pas faire quelque chose (le réencodage) donc pourquoi est-ce que ce n'est pas présent dans le soft ?
[^] # Re: Difference versus TAILS?
Posté par patrick_g (site web personnel) . En réponse à la dépêche Système d'exploitation anonyme Whonix version 8. Évalué à 4.
Tails m'a l'air focalisé sur l'utilisation en tant que live-cd ou live-usb.
De plus Tails semble porté par un team et être plus complet. Whonix est juste une collection de scripts appliqués sur une Debian.