ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?
J'ai hate de lire ta methode
On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.
- je trouves ca assez rigolo, c'est si dur que ca d'accepter qu'un soft libre a fait une erreur
Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.
- Tes histoires de complexite du systeme sont du vent
- Non c'est une realite, plus il y a de portes, plus il y a de possiblites d'entrer, ca coule sous le sens. - pas facile mais faisable
Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.
en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits
Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
A) Idem sous Windows, c'est pas vraiment un probleme d'habitude
Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.
B) Parce que Linux c'est toujours une part infinitesimale du marche
Tu peux quantifier peut-être ?
C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.
Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).
L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.
Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.
Je pense donc qu'il convient de s'intéresser de plus près aux arguments techniques avant de se prononcer de façon aussi catégorique. Sans cela, l'argumentaire est très similaire à "il y a plein de gens de couleur en prison, les gens de couleurs sont donc des criminels" ou bien "l'ulcère y'a plein de gens stressés qui en ont, donc ça vient du stress"
L'un vient avec l'autre, plus t'as de failles plus tu es vulnerable
Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.
Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
Pour le point B: justement, si la diversité se réduit, pourquoi ne voit-on pas apparaître plus de virus ?
Pour le point C: en fait, non, les librairies partagées ce n'est pas idem partout, rien que pour l'incompatibilité entre les versions, les compilateurs, et l'utilisation de protections automatiques à la compilation telles que noexec
La plupart des problèmes viennent en fait de problèmes de conception qui permettent l'exécution automatique de code:
Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
C'est bien ce que je lui reproche: une publicité propageant une affirmation sans fondement (quantité de virus liés à la popularité du système d'exploitation).
Les os sales posent plus de problèmes et finissent donc par disparaitre. Essayer de les protéger avec anti-virus et autres, c'est soigner l'ulcère à coup d'antidépresseur.
Cette dépêche ne nous dit pas grand-chose, à part "les virus peuvent vous faire du mal, ayez peur"
Pour qu'un virus se réplique, il faut tout d'abord un milieu favorable (des applications permettant d'exécuter du code utilisateur au lieu de traiter des données. Pour cela la seule façon est de profiter d'un bug d'un programme (un crash par exemple), ou d'une erreur d'interprétation de scripts (très mauvais code en général).
Les librairies de base les plus communes dans la majorité des distributions Linux sont le plus souvent exemptes de ces types de bugs (libc ..), même dans le cas de programmes utilisant des languages facilement exploitables (utilisation de la Glib). Et la diversité des versions (évolution rapide du développement libre) limite fortement l'éventuelle utilisation des ces bugs.
Une exception est le cas d'OpenOffice.org, dont le code est beaucoup trop touffu pour être revu correctement, et dont le système de macros laisse un espace évident pour les crash et autres bugs.
L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).
En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).
Il y a des drivers matériels mais aussi tous les jeux et autres logiciels propriétaires disponibles uniquement pour windows (half life 2, ..).
Le portage des logiciels libres (et KDE4 fonctionnera aussi sur windows) permet d'éviter de perdre du temps à essayer d'installer linux qui freeze, qui plante, qui a pas le wifi, où faut bricoler.
Quand à la sécurité sous windows, avec firefox derrière un nat y'a pas grand-chose à craindre.
Mais pourquoi passer à Linux ? Grâce à thegimp, openoffice, firefox et cygwin, windows possède maintenant le meilleur des deux mondes libres et propriétaire.
Scons est destiné à répondre avant tout aux besoin des build masters: construire des logiciels proprio sur un grand nombre de platformes, utiliser le système de gestion des sources, effectuer les tests de non-régression, etc. La compilation incrémentale est donc un objectif secondaire et les innovations doivent rester compatibles avec les anciennes versions de scons.
Maintenant, rien n'empêche qui que ce soit de développer sa propre branche de scons pour répondre à ses propres besoins, par exemple: http://freehackers.org/~tnagy/bksys.html
Celui-ci est surtout à rapprocher de Qmake. Le texte est un peu accrocheur, mais au fond Cmake est toujours un générateur de code, tout comme les autotools.
BKsys remplace les autotools totalement et permet de compiler des programmes kde mais aussi gtk, wxwidgets, etc.
Pour ce qui est de la lecture des Makefile.am, tu peux écrire un parser, mais c'est une mauvaise idée (tu ferais mieux de demander conseil à l'auteur).
La qualité d'une interface utilisateur se mesure justement à travers son intuitivité. Si l'utilisateur se trompe facilement avec l'interface qu'on lui propose, alors l'interface doit être améliorée.
Pour ce qui est de forcer l'utilisateur à lire avant de cliquer, il existe une solution bien plus élégante : une case à cocher activant le bouton "OK" (exemple : dialogue à l'installation de Mandrake "acceptez-vous les termes de cette licence").
Les dialogues gtk et kde ont les boutons en sens opposés (ok/cancel | cancel/ok). S'ils étaient tous dans le même sens ca éviterait déjà de cliquer par réflexe sur les mauvais boutons.
Ceci me semble capital pour un outil aussi important que celui de la configuration du système (utilisant drakconf avec le bureau kde).
Cet outil de mindmapping est destiné à faciliter la création de documents complexes.
Il dispose d'une vue mindmap (en couleurs), et d'une représentation linéaire. Il permet aussi d'inclure des images dans ses documents.
Plusieurs templates pour la création de documents sont disponibles :
* rapport latex
* article latex
* page html
* texte brut
Il sera bientôt doté de templates pour créer des slides en latex (via prosper), et de fonctionalités pour gérer/manipuler des fichiers externes (inclusion verbatim).
Les utilisateurs sont invités à faire part des bogues rencontrés à l'auteur (merci :)
[^] # Re: Idée reçue à combattre
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 0.
ie et firefox ont tous deux utilisé une api du système permettant d'executer n'importe quoi. Les deux programmes ont du être patchés ainsi que le système d'exploitation. C'est pourtant clair, non ?
J'ai hate de lire ta methode
On peut t'envoyer un powerpoint spécialement écrit pour l'occasion par exemple ? Si le FBI peut le faire avec Carnivore et autres, c'est bien qu'il y a des facilités dans ce système.
[^] # Re: Idée reçue à combattre
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Regarde ici:
http://www.mccanless.us/mozilla/mozilla_bugs.htm
Le bug est présent dans IE qui fait parti des librairies du système, et le correctif de Mozilla fut justement d'éviter la librairie du système.
De plus, le fait que Microsoft ait corrigé le bug dans un service pack montre bien qu'il s'agit d'un problème avec le système d'exploitation.
- Super, et le mien sous Windows
J'oubliais de préciser que j'ai l'installation par défaut - c'est le cas pour toi aussi je suppose ? c'est quoi ton email ? :-)
[^] # Re: Idée reçue à combattre
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Je trouve assez amusant que le type d'erreur en question n'existe que sur ladite plateforme. Note: l'exploit a d'abord été découvert pour IE, puis on s'est aperçu que Firefox avait copié - il s'agit bien d'un problème de fonctionnalités.
- Tes histoires de complexite du systeme sont du vent
Preuve que non, dès lors que la librairie en question fait parti du système d'exploitation et qu'il s'agit d'une fonctionalité du système:
http://slashdot.org/it/04/07/08/2159244.shtml
http://www.microsoft.com/technet/security/bulletin/ms06-057.(...)
- Pas vraiment, ou est la limite entre un ver et un virus ?
On va dire qu'un ver affecte plutôt les serveurs alors qu'un virus affecte les stations de travail.
- plutot que lancer des grandes phrases
Plutôt que de lancer des grandes phrases, tu peux m'infecter avec un virus stp ? Mon poste est sous Linux avec Suse 10.2, et j'utilise Kmail :-)
[^] # Re: Idée reçue à combattre
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
- pas facile mais faisable
Contradiction, pour qu'un virus se propage, il faut bien que cela se fasse de façon facile et automatique.
en notant que ces 2 elements sont presents sous Windows, ca n'arrete pas les exploits
Exact, sous windows on n'a pas vraiment besoin d'exploits, il suffit de profiter des erreurs de programmation liées à la complexité du système (exemples de l'exécution de programmes par la librairie wmf, des problèmes de mozilla avec le shell win32, et d'outlook express qui execute du code automatiquement).
Les exploits c'est pour les vers, pas les virus, l'argument est donc de toute façon un peu hors sujet à la base.
[^] # Re: mouais
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 4.
Et bien non, justement, le bogue de Mozilla montre justemement qu'un programme écrit de façon portable présente plus de problèmes de sécurité (shell windows) sous Windows que sur les autres systèmes.
B) Parce que Linux c'est toujours une part infinitesimale du marche
Tu peux quantifier peut-être ?
C) Une fois la consolidation faite, ca sera le meme compilo, a peu pres les memes versions, ... et noexec il est sympa mais sur un systeme desktop grand public j'ai hate de voir
Genre AppArmor ? Ensuite le fait d'avoir à peu près le même compilateur ne garantit pas d'avoir le même code machine et d'obtenir des exploits portables.
Pour en revenir aux exemples que j'ai donné, le problème de sécurité de Mozilla démontre de façon claire qu'un programme ayant pour but la portabilité présentera des problèmes plus importants sur Windows que sur Linux (et autres systèmes de type Unix).
L'exploit des wmf provient de fonctionnalités antiques de windows permettant entre autre d'installer des programmes. En pratique, les programmes sont fait pour éviter l'exécution de code arbitraire, et le vieux code sous Linux disparaît très rapidement, par exemple les librairies Qt3-compat ont pratiquement disparu de la version beta de Kde4.
Enfin, le cas d'OpenOffice.org est un petit peu spécial, car il s'agit d'un programme proprio conçu pour windows qui a été porté puis libéré, et qui évolue relativement lentement - une exception vis à vis des programmes et librairies du monde open-source.
Je pense donc qu'il convient de s'intéresser de plus près aux arguments techniques avant de se prononcer de façon aussi catégorique. Sans cela, l'argumentaire est très similaire à "il y a plein de gens de couleur en prison, les gens de couleurs sont donc des criminels" ou bien "l'ulcère y'a plein de gens stressés qui en ont, donc ça vient du stress"
[^] # Re: Idée reçue à combattre
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
Encore une affirmation gratuite (sans fondement technique), qui rappelle le message sur l'absence de diversité des distributions Linux.
Par exemple, le programme openssh est divisé en deux parties, dont une qui surveille l'autre. En cas d'exploit, la partie sensible est immédiatement stoppée. Autre exemple, la compilation des programmes C avec protection de pile (noexec) , ou les pages non exécutables.
[^] # Re: mouais
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 1.
Pour le point B: justement, si la diversité se réduit, pourquoi ne voit-on pas apparaître plus de virus ?
Pour le point C: en fait, non, les librairies partagées ce n'est pas idem partout, rien que pour l'incompatibilité entre les versions, les compilateurs, et l'utilisation de protections automatiques à la compilation telles que noexec
La plupart des problèmes viennent en fait de problèmes de conception qui permettent l'exécution automatique de code:
http://www.mozilla.org/security/shell.html
http://en.wikipedia.org/wiki/Windows_Metafile_vulnerability
http://www.f-secure.com/weblog/archives/archive-012006.html#(...)
http://www.windowsitpro.com/Articles/ArticleID/40090/40090.h(...)
Ces problèmes de conception sont absents des programmes et des bibliothèques open-source, excepté pour le cas d'OpenOffice.org (macros). Il y a bien une protection intrinsèque à utiliser Linux et autres systèmes libres.
[^] # Re: mouais
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 3.
[^] # Re: Responsabilite ?
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 6.
Les os sales posent plus de problèmes et finissent donc par disparaitre. Essayer de les protéger avec anti-virus et autres, c'est soigner l'ulcère à coup d'antidépresseur.
# mouais
Posté par Tramo Piere . En réponse à la dépêche Les virus sous Linux. Évalué à 6.
Pour qu'un virus se réplique, il faut tout d'abord un milieu favorable (des applications permettant d'exécuter du code utilisateur au lieu de traiter des données. Pour cela la seule façon est de profiter d'un bug d'un programme (un crash par exemple), ou d'une erreur d'interprétation de scripts (très mauvais code en général).
Les librairies de base les plus communes dans la majorité des distributions Linux sont le plus souvent exemptes de ces types de bugs (libc ..), même dans le cas de programmes utilisant des languages facilement exploitables (utilisation de la Glib). Et la diversité des versions (évolution rapide du développement libre) limite fortement l'éventuelle utilisation des ces bugs.
Une exception est le cas d'OpenOffice.org, dont le code est beaucoup trop touffu pour être revu correctement, et dont le système de macros laisse un espace évident pour les crash et autres bugs.
L'évolution des applications open-source se dirige aussi vers l'emploi de nouveaux languages qui permettent de limiter tant les problèmes classiques (buffer overflow) que de réduire la quantité de code (exemples de vala, de qt jambi ou de gtk sharp).
En somme, la diversité des applications ainsi que la qualité des programmes et des librairies sous Linux limitent non seulement la propagation d'éventuels virus mais aussi l'apparition de ceux-ci (la popularité du système a donc peu à voir).
[^] # Re: les Logiciels Libres en drogue douce ?
Posté par Tramo Piere . En réponse à la dépêche Sortie de Bureau Libre Free-EOS 2.0. Évalué à -2.
Le portage des logiciels libres (et KDE4 fonctionnera aussi sur windows) permet d'éviter de perdre du temps à essayer d'installer linux qui freeze, qui plante, qui a pas le wifi, où faut bricoler.
Quand à la sécurité sous windows, avec firefox derrière un nat y'a pas grand-chose à craindre.
[^] # Re: les Logiciels Libres en drogue douce ?
Posté par Tramo Piere . En réponse à la dépêche Sortie de Bureau Libre Free-EOS 2.0. Évalué à 1.
[^] # Des cas d'utilisation très différents
Posté par Tramo Piere . En réponse au journal CMake dans KDE. Évalué à 1.
Maintenant, rien n'empêche qui que ce soit de développer sa propre branche de scons pour répondre à ses propres besoins, par exemple:
http://freehackers.org/~tnagy/bksys.html
[^] # Re: Enorme
Posté par Tramo Piere . En réponse au journal CMake dans KDE. Évalué à 1.
http://freehackers.org/~tnagy/bksys.html
[^] # Re: Question de base
Posté par Tramo Piere . En réponse à la dépêche Sortie de CMake 2.4.1. Évalué à 2.
# Kdissert
Posté par Tramo Piere . En réponse au sondage J'utilise comme suite bureautique. Évalué à 2.
Avec bien sur Umbrello pour les diagrammes de classe et xfig pour les diagrammes ou même the gimp au besoin.
[^] # Re: Scons
Posté par Tramo Piere . En réponse à la dépêche The aKademy 2005 à Málaga. Évalué à 1.
BKsys remplace les autotools totalement et permet de compiler des programmes kde mais aussi gtk, wxwidgets, etc.
Pour ce qui est de la lecture des Makefile.am, tu peux écrire un parser, mais c'est une mauvaise idée (tu ferais mieux de demander conseil à l'auteur).
[^] # Re: Scons
Posté par Tramo Piere . En réponse à la dépêche The aKademy 2005 à Málaga. Évalué à 4.
http://www.freehackers.org/~tnagy/bksys.html
http://www.freehackers.org/~tnagy/kdissert/index.html
# Quelques autres programmes fort utiles
Posté par Tramo Piere . En réponse à la dépêche KnoSciences GNU/Linux LiveCD pour l'Education. Évalué à 1.
http://www.kde-apps.org/content/show.php?content=14542(...)
Outils de mind-mapping pour la rédaction de documents (interaction avec latex, openoffice) :
http://www.kde-apps.org/content/show.php?content=12725(...)
Ces deux outils sont suffisamment stables pour une utilisation courante.
[^] # Re: Un problème avec OCAMLYACC
Posté par Tramo Piere . En réponse au message caml, lex et yacc. Évalué à 2.
http://www.kde-apps.org/content/show.php?content=14542(...)
[^] # Re: Et FreeMind ? Mieux
Posté par Tramo Piere . En réponse à la dépêche Il n'y a pas que le traitement de texte pour manipuler du texte !. Évalué à 1.
Cet outil peut générer des documents au format LaTeX (slides, rapports), OpenOffice.org writer, html et texte brut.
[^] # Re: truc tout simple qui me @]|`^$
Posté par Tramo Piere . En réponse à la dépêche Appel à participation pour l'amélioration de l'ergonomie de Mandrakelinux. Évalué à 2.
Pour ce qui est de forcer l'utilisateur à lire avant de cliquer, il existe une solution bien plus élégante : une case à cocher activant le bouton "OK" (exemple : dialogue à l'installation de Mandrake "acceptez-vous les termes de cette licence").
# truc tout simple qui me @]|`^$
Posté par Tramo Piere . En réponse à la dépêche Appel à participation pour l'amélioration de l'ergonomie de Mandrakelinux. Évalué à 4.
Ceci me semble capital pour un outil aussi important que celui de la configuration du système (utilisant drakconf avec le bureau kde).
[^] # kdissert
Posté par Tramo Piere . En réponse à la dépêche FreeMind : décapsuleur de cerveau. Évalué à 6.
Il dispose d'une vue mindmap (en couleurs), et d'une représentation linéaire. Il permet aussi d'inclure des images dans ses documents.
Plusieurs templates pour la création de documents sont disponibles :
* rapport latex
* article latex
* page html
* texte brut
Il sera bientôt doté de templates pour créer des slides en latex (via prosper), et de fonctionalités pour gérer/manipuler des fichiers externes (inclusion verbatim).
Les utilisateurs sont invités à faire part des bogues rencontrés à l'auteur (merci :)
[^] # Re: convertir
Posté par Tramo Piere . En réponse à la dépêche Sortie d'OpenOffice.org 1.1.2. Évalué à -2.