> Tu devrais relire la licence que tu as choisis pour ton logiciel. A aucun moment il n'est question de gratuité.
Non mais je distribue le logiciel sans frais, et n'importe qui a le droit de faire de meme. Si demain j'arrive et que je dit "hep hep hep, vous là-bas, je vous vend l'accès à mon Nessus 3.0.0 pour 3 000 000 euros", alors le type que j'ai désigné a tout à fait le droit d'en acheter une copie et de la redistribuer gratuitement, cassant ainsi mon business model qui était un peu bancal. Donc sur le papier il n'y a pas de notion de gratuité, dans les faits rééls de la vraie vie, c'est comme ça.
> As tu envisagé la solution de profession libérale qui correspond exactement >au profile de consultant et développeur sur mesure ?
Oui, mais c'est hélas fort malpratique, car certains clients ont l'obligation de ne traiter qu'avec de "vraies" enterprises, et pas des professions libérales. L'idée étant de simplifier les "dons", on n'a pas envie de prendre un status spécial (c'est aussi pour ça que je n'ai pas regardé la SCOP de très pret). Si on arrive avec une société qui sent l'huile de serpent, meme les clients de bonne volonté n'arriveront pas à donner quoi que ce soit puisque leur service de compta bloquera tout.
Je ne suis pas choqué outre-mesure. Si je donne quelque chose gratuitement je n'ai pas à attendre une rémunération quelconque en retour. En plus, il se trouve que certaines entreprises ont "sponsorisé" le développement en achetant du service (et je ne parle pas d'autres contributions comme les serveurs de nessus.org ou bien le matériel qui m'a été envoyé - cf http://www.nessus.org/thanks.html(...) qui ne cite que les personnes qui ont voulues êtres citées). Donc tout le monde n'est pas pourri.
Ce qui ne cesse de me choquer ce sont les sociétés qui ont une expérience fort limitée dans le domaine de la sécurité informatique et qui se permette de revendre mon travail sans meme en mentionner le nom (style ASPs que je ne citerai pas). J'ai meme trouvé le fin du fin récemment : une boite américaine qui revendait la mise à jour des plugins Nessus pour $10,000 par mois à ses clients (qu'on va appeler "gogos" dans le contexte présent). Pour ceux qui ne sont pas familier avec Nessus, cela équivaut simplement à rajouter un appel à "nessus-update-plugins" dans cron. Argent de poche facile pour la boite, qui ne fait aucun controle de qualité sur les plugins envoyés.
Pour répondre à ta question :
> Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.
Le plus simple c'est que le dévelopeur monte une SARL/EURL et que lesdites sociétés lui achètent des journées de consulting ou bien du dévelopement sur mesure (en fonction des attributions de budget). C'est un processus lourd à mettre en place (en France c'est vraiment une plaie de monter une société), et il y a un investissement non-nul en temps et argent (puisqu'il faut au moins 8keuros pour monter la boite, sachant qu'ensuite les frais d'avocats et de montage peuvent être prelevés dans ces 8keuros).
Du point de vue du développeur, il y a de rééls avantages par la suite, comme le fait d'acheter tout le matos informatique directement par la boite, ce qui permet de ne pas payer la TVA et de déduire ces investissements de l'IS à la fin de l'année.
Mais je ne recommande ça qu'à des développeurs certains de décrocher des contrats et qui peuvent bénéficier de l'aide de leur proches quand il s'agit de faire la compta et payer les centaines d'impots qui tombent du ciel dès la création de la société.
Rapidement :
Si tu scannes une machine, et qu'au premier test sur le port 80 du serveur web, la connexion est refusée, Nessus va-t-il essayer les autres attaques concernant un serveur web, et donc réessayer de se connecter ? Il me semble que c'était le cas à l'époque.
Non, ça n'a jamais été le cas.
As-tu une idée sur l'utilisation de Nessus par M. Leboulet ?
Pas tellement. J'ai juste reçu 5 plaintes en quatre ans (parceque "nessus" apparaissait dans les logs). On m'a dit qu'il était utilisé plus que je ne le pensait, mais je n'ai aucun moyen de vérifier.
Pour ce qui est de l'évolution de l'utilisation de Nessus, je ne suis pas d'accord avec toi. En termes de sécurité, d'abord il n'y a rien eut, puis il y a eut les firewalls, puis les IDS (pour voir si les firewalls servent à quelque chose). Maintenant, les entreprises commencent à dire "bon, voyons quel est l'état du réseau interne". Ce n'est pas le cas partout (et encore moins en france), mais c'est une approche que je vois se développer de plus en plus et qui, je pense, prendra une très grande importance d'ici deux ou trois ans.
Je n'aime pas répondre aux trolls, mais là c'est plus du FUD, donc je me sens obligé d'intervenir.
Je me permet de reformuler tes affirmations :
- "Interet d'un tel outil ?"
-> Scanner des dizaines, des centaines, voir des milliers de machines qui sont sous ta "juridiction" (quand tu es admin système d'un vrai réseau, avec des vrais utilisateurs qui se moquent de la sécurité).
- "Nessus teste des failles Unix sur un Windows et vice et versa, ca pue"
-> Nessus doit s'adapter au réseau, et pas l'inverse. Si on fait face à un unix qui fait un nat inverse sur le port 80 vers un IIS, on a pas envie de le rater juste parceque la pile IP de la machine ressemble à du linux.
De plus, certaines failles sont génériques (ex: envoyer un login trop long qui fait planter un serveur POP) - ca permet de valider certains serveurs inconnus contre des failles connues (et c'est comme ça que l'overflow dans qpopper 4.0 a été trouvé).
De plus, Nessus 1.2 _fait_ des optimisations, mais c'est une option. Celles-ci permettent de faire des tests plus malins (failles apache testées seulement contre un apache), mais c'est une approche plus risquée pour un ensemble de raisons (cf les archives de la liste Nessus pour explications plus détaillées. En gros, tu augment es les risques de rater une vulnérabilité).
- "Il est très lent"
-> Tu peux parametrer le nombre de tests et de machines à scanner en parallèle. Il y a encore des choses à améliorer, mais c'est pas "très lent".
- "Il est pas discret"
-> Tant mieux. Mon objectif n'est pas d'aider une nouvelle génération de Jean-Kevin. Même les techniques d'évasion d'IDS rendent Nessus bruyant (car il envoye plus de paquets, donc plus de logs dans le firewall, et contre un bon IDS il génère encore plus de messages d'alerte).
Si tu fais des scans réguliers, il y a des options permettant d'éviter de relancer toute la batterie de tests contre la machine distante (juste les nouveaux), ce qui limite le bruit dans le cas d'un réseau d'entreprise.
- "Les mises à jour sont lentes à venir"
-> Pour les failles critiques (ex: le dernier overflow htr dans iis), elles sont publiées dans les 8 heures. Le moteur n'est pas mis à jour, mais l'utilitaire nessus-update-plugins va chercher les derniers tests pour toi sur www.nessus.org. Donc Nessus _peut_ être utilisé pour tester la faille "du jour" sur bugtraq.
Maintenant, il est certain que si tu es dans le cas où tu administres _une_ machine configurée aux petits oignons et que tu lis bugtraq tous les matins, Nessus n'a que peu d'interet pour toi.
Je ne suis pas tout à fait d'accord. Il y a des guides de sécurisation Solaris, HP/UX, Linux et compagnie, seulement ils ne tiennent pas sur une seule page, et leur sortie n'est pas entourée de 30 articles de presse.
Ce type de document (le top[12]0) ça donne aux gens qui ne savent pas trop un faux sentiment de sécurité, et la logique derrière sa rédaction c'est de tenter de simplifier le monde de la sécurité plutot que d'écrire un document simple, et c'est pour ça que je le trouve dangereux. Combien de petites sociétés vont appliquer ce document là plutot que de lire d'autres docs plus longues, donc "forcément plus couteuses à mettre en oeuvre" ?
(maintenant, je reconnais que de par sa généralité, le top20 est quand meme bien mieux que le top10 de l'année dernière)
Je pensais qu'on avait touché le fond avec le top10, mais SANS nous confirme qu'ils ne font pas vraiment de la sécurité en sortant le top 20.
Déjà, faire un "top" des vulnérabilités, c'est stupide. Une vulnérabilité, ça reste une vulnérabilité. Le fait qu'elle soit populaire ou non, ça ne sécurise pas un serveur. Si je me fait pirater à cause de la 21ème vulnérabilité la plus populaire, à la fin de la journée je me suis quand meme fait pirater.
L'effort qu'ils ont voulu faire pour le top 20, c'est d'être moins spécifique que le top 10. C'est vrai que deux mois après la sortie du top 10, les premières vulnérabilités Unicode sont sorties, et pourtant ils n'ont pas mis à jour leur document à ce moment là - ils ont attendu un an pour le faire. ça fait beaucoup quand meme...
Mais à cause de ça, on se retrouve avec des vulnérabilités "bateau", telles que "installation par défaut d'un OS". Qu'est-ce que ca veut dire ? OpenBSD, par défaut, est quand meme plus sûr qu'un Windows sur lequel il ne reste qu'un IIS. NetBSD, par défaut, n'écoute sur aucun port. On ne peut pas vraiment faire plus vague - dans le meme ordre d'idée, je pourrais faire un Top 1 qui serait "les systèmes ayant de problèmes de sécurité et n'étant pas bien configurés".
Ce type de document, à mon gout, ça n'est qu'une opération de pub. Ca fait bien, ça permet aux CIO et autres Security Officers de se faire payer des cours à SANS, mais en pratique ça ne sert à rien. Le problème c'est que j'ai vu des gens, il y a encore trois mois, venir à moi avec la liste du top 10, voulant à tout prix fixer les problèmes décrits, pas ceux qui existent dans le vrai monde, parceque "ca vient de SANS". Et je les ai vu cocher un à un les problèmes.
Résultat, ils ont bien protégé certaines choses, mais ils ont été vulnérable à CodeRed, parcequ'ils ont pratiqué la politique du moindre effort (on ne fixe QUE ce qu'on nous a dit de fixer).
Donc pour tous ceux qui veulent de la vrai sécurité, et non de la sécurité "politique" ("regardez chef! Je m'étais bien protégé, j'avais appliqué le top NN"), je recommande d'au moins vous abonner à la mailing list sécurité de votre distrib, et d'appliquer tous les patches
(et de désactiver les services non utilisés, etc, etc...), mais pas de vous cantonner à une liste des choses à faire.
Cela fait un moment que je regarde de près SQL-Ledger (www.sql-ledger.org) et je suis à deux doigts de l'utiliser comme logiciel de compta principal (à la place d'un vieux truc sous Windows).
Il supporte le français, a les bons taux de TVA, génère les factures, fait la liste de ce qui reste en stock, et surtout il est
simple d'utilisation, c'est à dire que pour le non-spécialiste en compta que je suis, j'ai un outil qui me facilite la vie.
Il faut encore que je le fasse évaluer par un vieux baroudeur de logiciels de compta, mais il me semble vraiment très bien.
Une démo est en ligne sur leur site, pour ceux qui veulent essayer, mais c'est la version anglaise (les français ont droit à un traitement spécial et tout n'est pas pareil)
C'est pas très difficile de respecter la licence lorsqu'il s'agit de n'avoir aucune obligation vis-à-vis de l'auteur :)
En revanche, je leur demande du savoir-vivre. Cela signifie que s'ils ont des ressources pour coder un truc qui sera codé de toute façon, et qui ne peut que leur simplifier la vie, ils le fassent vraiment (ils avaient promis d'engager un "dévelopeur GPL", mais j'attends toujours) et qu'ils soient honnetes commercialement. Sans Nessus, ils perdaient un ou deux ans, le temps de déveloper un produit du meme genre, qui aurait de toute façon été moins testé et probablement moins exhaustif. En contrepartie, c'est normal qu'ils ne clament pas que c'est "leur invention", parceque c'est mentir à leur clients.
Et dire que :
my_secret_scanner.sh
c'est un scanner propriétaire, alors que le contenu est sans doute équivalent à :
(j'omets la partie "génération des rapports de toutes les couleurs"), c'est nul, c'est tout.
Idem lorsque je fait de la veille et que je publie des plugins tant que je peux, alors que je suis à l'autre bout du monde, et qu'ils se vantent d'avoir une super équipe de veille active, ca me fait mal aussi. Ils prennent mes efforts et récupèrent les honneurs. C'est le genre de détail qui me fait me demander si je devrais pas tout arreter, pour changer.
Non, la question est de savoir s'il mesure et est près à accepter ce que signifie logiciels libres.
Cela fait trois ans que je travaille sur Nessus, et trois ans qu'il est et reste libre, et je pense savoir ce que cela signifie.
Maintenant, lorsque je vois une entreprise lors de sa présentation commerciale sortir que "leur" moteur est le meilleur, et que après questions du public ils admettent qu' "un des composants" est Nessus, alors que dans les faits, Nessus+Whisker+Nmap font 99% du boulot, il ne s'agit plus vraiment de logiciel mais de discours marketting foireux. Lorsque la meme société, six mois avant, questionnée sur leur moteur affirme que c'est leur propre technologie, ca fait mal. Ce qui fait encore plus mal c'est que encore et toujours la meme société, lorsqu'au meme salon on lui dit "ah bon, vous n'utilisez pas Nessus ?" ils affirment "si si. Mais on n'en est pas très content. On a réécrit tous les plugins, parceque l'auteur n'a pas l'air de savoir ce qu'il fait", alors qu'en pratique ils s'en servent tel quel, je ne peux pas tolérer cela. Idem lorsqu'on télécharge la brochure sur leur site web et qu'elle ne mentionne aucun logiciel libre.
Pour résumer, parceque je vois passer tout et n'importe quoi :
- Je ne demande a personne de diffuser les modifs qu'ils font aux sources de Nessus. Je suis conscient de la réalité commerciale et je sais que ce n'est pas envisageable (déjà que 90% des ASPs utilisent Nessus, si en plus ils publient leur modifs, la seule différence ce sera les gifs animés) ;
- Je n'ai pas l'intention de changer de license ;
- Je demande que plutot que d'utiliser les termes "notre technologie" et "notre moteur" et "le fruit de notre R&D", ils disent plus simplement "Nessus". Idem pour les fonctionnalités - lorsqu'ils disent "Notre moteur testera un serveur web alors qu'il tourne sur le port 21", c'est un mensonge. C'est Nessus et mon code qui font ça ;
- Je demande que des sociétés qui vivent exclusivement de mon produit contribuent. Et pas seulement en publiant trois tests de vulnérabilité sur un an. On a besoin de matériel, de developeurs, etc, etc... Lorsque je fait un appel sur la liste Nessus pour des changements majeurs qui seraient de toute facon bénéfiques pour les ASPs, ils font la sourde oreille.
Voila. Et comme j'ai pas de XP, modérez tous ca a +255 :)
Sur rien du tout, c'est complètement idiot de dire que la Loi française est plus forte que la GPL. Cela n'a aucun sens.
Si, tout simplement parceque :
- En France, tu ne peux pas révoquer un droit
- Tout le monde est d'accord sur le fait que le modèle ASP c'est un point qui n'a pas été prévu à l'origine par la GPL.
- La GPL n'est pas rédigée en français, donc de toute façon elle n'est pas légale en France.
- Tout citoyen français a un droit à la propriété intellectuelle
Donc à mon gout, ça se défendrait au tribunal, du moins face à une société française comme c'est le cas aujourd'hui (les pires ne sont pas toujours au fin fond de la planète, ils peuvent aussi être situés pas loin de chez vous. A Rennes par exemple).
L'article 35 de cette belle loi stipule que de mettre à disposition un programme destiné à accomplir une des infractions des articles 323-1 à 323-3 donne droit à passer du temps en prison et payer des sous à notre beau pays.
Or, l'article 323-2 dit :
"le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé est puni ...".
On remarque l'absence du mot frauduleux (merci à Franck-qui-se-reconnaitra pour m'avoir fait remarquer ca).
Ca veut dire que demain, je trouve un déni de service Linux, je le publie => prison.
Pire, je fait un scanner de vulnérabilités gratuit (quelconque hein ;) => prison.
Donc pas une belle loi du tout. Il faut tous se plaindre contre l'article 35 (ou faire modifier le 323-2 pour rajouter le mot "frauduleux").
[^] # Re: Nessus et le financement des outils libres
Posté par Deraison Renaud . En réponse à la dépêche Le top 75 des outils sécurité. Évalué à 4.
Non mais je distribue le logiciel sans frais, et n'importe qui a le droit de faire de meme. Si demain j'arrive et que je dit "hep hep hep, vous là-bas, je vous vend l'accès à mon Nessus 3.0.0 pour 3 000 000 euros", alors le type que j'ai désigné a tout à fait le droit d'en acheter une copie et de la redistribuer gratuitement, cassant ainsi mon business model qui était un peu bancal. Donc sur le papier il n'y a pas de notion de gratuité, dans les faits rééls de la vraie vie, c'est comme ça.
[^] # Re: Nessus et le financement des outils libres
Posté par Deraison Renaud . En réponse à la dépêche Le top 75 des outils sécurité. Évalué à 6.
Oui, mais c'est hélas fort malpratique, car certains clients ont l'obligation de ne traiter qu'avec de "vraies" enterprises, et pas des professions libérales. L'idée étant de simplifier les "dons", on n'a pas envie de prendre un status spécial (c'est aussi pour ça que je n'ai pas regardé la SCOP de très pret). Si on arrive avec une société qui sent l'huile de serpent, meme les clients de bonne volonté n'arriveront pas à donner quoi que ce soit puisque leur service de compta bloquera tout.
[^] # Re: Nessus et le financement des outils libres
Posté par Deraison Renaud . En réponse à la dépêche Le top 75 des outils sécurité. Évalué à 10.
Ce qui ne cesse de me choquer ce sont les sociétés qui ont une expérience fort limitée dans le domaine de la sécurité informatique et qui se permette de revendre mon travail sans meme en mentionner le nom (style ASPs que je ne citerai pas). J'ai meme trouvé le fin du fin récemment : une boite américaine qui revendait la mise à jour des plugins Nessus pour $10,000 par mois à ses clients (qu'on va appeler "gogos" dans le contexte présent). Pour ceux qui ne sont pas familier avec Nessus, cela équivaut simplement à rajouter un appel à "nessus-update-plugins" dans cron. Argent de poche facile pour la boite, qui ne fait aucun controle de qualité sur les plugins envoyés.
Pour répondre à ta question :
> Si quelqu'un connait un moyen légal et "corporate" pour qu'une entreprise reverse de l'argent aux développeurs d'un logiciel libre, je suis preneur.
Le plus simple c'est que le dévelopeur monte une SARL/EURL et que lesdites sociétés lui achètent des journées de consulting ou bien du dévelopement sur mesure (en fonction des attributions de budget). C'est un processus lourd à mettre en place (en France c'est vraiment une plaie de monter une société), et il y a un investissement non-nul en temps et argent (puisqu'il faut au moins 8keuros pour monter la boite, sachant qu'ensuite les frais d'avocats et de montage peuvent être prelevés dans ces 8keuros).
Du point de vue du développeur, il y a de rééls avantages par la suite, comme le fait d'acheter tout le matos informatique directement par la boite, ce qui permet de ne pas payer la TVA et de déduire ces investissements de l'IS à la fin de l'année.
Mais je ne recommande ça qu'à des développeurs certains de décrocher des contrats et qui peuvent bénéficier de l'aide de leur proches quand il s'agit de faire la compta et payer les centaines d'impots qui tombent du ciel dès la création de la société.
[^] # Re: un outil pour djeunz rebelz ?
Posté par Deraison Renaud . En réponse à la dépêche Introduction à Nessus. Évalué à 10.
[^] # Re: un outil pour djeunz rebelz ?
Posté par Deraison Renaud . En réponse à la dépêche Introduction à Nessus. Évalué à 10.
[^] # Re: C'est encore plus bete que le top10...
Posté par Deraison Renaud . En réponse à la dépêche top20 des erreurs. Évalué à 10.
Ce type de document (le top[12]0) ça donne aux gens qui ne savent pas trop un faux sentiment de sécurité, et la logique derrière sa rédaction c'est de tenter de simplifier le monde de la sécurité plutot que d'écrire un document simple, et c'est pour ça que je le trouve dangereux. Combien de petites sociétés vont appliquer ce document là plutot que de lire d'autres docs plus longues, donc "forcément plus couteuses à mettre en oeuvre" ?
(maintenant, je reconnais que de par sa généralité, le top20 est quand meme bien mieux que le top10 de l'année dernière)
# C'est encore plus bete que le top10...
Posté par Deraison Renaud . En réponse à la dépêche top20 des erreurs. Évalué à 10.
Déjà, faire un "top" des vulnérabilités, c'est stupide. Une vulnérabilité, ça reste une vulnérabilité. Le fait qu'elle soit populaire ou non, ça ne sécurise pas un serveur. Si je me fait pirater à cause de la 21ème vulnérabilité la plus populaire, à la fin de la journée je me suis quand meme fait pirater.
L'effort qu'ils ont voulu faire pour le top 20, c'est d'être moins spécifique que le top 10. C'est vrai que deux mois après la sortie du top 10, les premières vulnérabilités Unicode sont sorties, et pourtant ils n'ont pas mis à jour leur document à ce moment là - ils ont attendu un an pour le faire. ça fait beaucoup quand meme...
Mais à cause de ça, on se retrouve avec des vulnérabilités "bateau", telles que "installation par défaut d'un OS". Qu'est-ce que ca veut dire ? OpenBSD, par défaut, est quand meme plus sûr qu'un Windows sur lequel il ne reste qu'un IIS. NetBSD, par défaut, n'écoute sur aucun port. On ne peut pas vraiment faire plus vague - dans le meme ordre d'idée, je pourrais faire un Top 1 qui serait "les systèmes ayant de problèmes de sécurité et n'étant pas bien configurés".
Ce type de document, à mon gout, ça n'est qu'une opération de pub. Ca fait bien, ça permet aux CIO et autres Security Officers de se faire payer des cours à SANS, mais en pratique ça ne sert à rien. Le problème c'est que j'ai vu des gens, il y a encore trois mois, venir à moi avec la liste du top 10, voulant à tout prix fixer les problèmes décrits, pas ceux qui existent dans le vrai monde, parceque "ca vient de SANS". Et je les ai vu cocher un à un les problèmes.
Résultat, ils ont bien protégé certaines choses, mais ils ont été vulnérable à CodeRed, parcequ'ils ont pratiqué la politique du moindre effort (on ne fixe QUE ce qu'on nous a dit de fixer).
Donc pour tous ceux qui veulent de la vrai sécurité, et non de la sécurité "politique" ("regardez chef! Je m'étais bien protégé, j'avais appliqué le top NN"), je recommande d'au moins vous abonner à la mailing list sécurité de votre distrib, et d'appliquer tous les patches
(et de désactiver les services non utilisés, etc, etc...), mais pas de vous cantonner à une liste des choses à faire.
- Renaud.
# Pour la compta d'entreprise : sql-ledger
Posté par Deraison Renaud . En réponse à la dépêche Y'a-t-il un comptable dans la salle ?. Évalué à 4.
Il supporte le français, a les bons taux de TVA, génère les factures, fait la liste de ce qui reste en stock, et surtout il est
simple d'utilisation, c'est à dire que pour le non-spécialiste en compta que je suis, j'ai un outil qui me facilite la vie.
Il faut encore que je le fasse évaluer par un vieux baroudeur de logiciels de compta, mais il me semble vraiment très bien.
Une démo est en ligne sur leur site, pour ceux qui veulent essayer, mais c'est la version anglaise (les français ont droit à un traitement spécial et tout n'est pas pareil)
[^] # Re: de quoi
Posté par Deraison Renaud . En réponse à la dépêche L'accès au site de Nessus devient restreint. Évalué à 5.
On dira que oui. Mais un astucieux lecteur a trouvé la bonne solution déjà, un peu plus haut...
[^] # Re: de quoi
Posté par Deraison Renaud . En réponse à la dépêche L'accès au site de Nessus devient restreint. Évalué à 10.
Ces sociétés respectent la licence.
C'est pas très difficile de respecter la licence lorsqu'il s'agit de n'avoir aucune obligation vis-à-vis de l'auteur :)
En revanche, je leur demande du savoir-vivre. Cela signifie que s'ils ont des ressources pour coder un truc qui sera codé de toute façon, et qui ne peut que leur simplifier la vie, ils le fassent vraiment (ils avaient promis d'engager un "dévelopeur GPL", mais j'attends toujours) et qu'ils soient honnetes commercialement. Sans Nessus, ils perdaient un ou deux ans, le temps de déveloper un produit du meme genre, qui aurait de toute façon été moins testé et probablement moins exhaustif. En contrepartie, c'est normal qu'ils ne clament pas que c'est "leur invention", parceque c'est mentir à leur clients.
Et dire que :
my_secret_scanner.sh
c'est un scanner propriétaire, alors que le contenu est sans doute équivalent à :
--------------------------------------------
#!/bin/sh
nmap $1 && whisker $1 && nessus $1
--------------------------------------------
(j'omets la partie "génération des rapports de toutes les couleurs"), c'est nul, c'est tout.
Idem lorsque je fait de la veille et que je publie des plugins tant que je peux, alors que je suis à l'autre bout du monde, et qu'ils se vantent d'avoir une super équipe de veille active, ca me fait mal aussi. Ils prennent mes efforts et récupèrent les honneurs. C'est le genre de détail qui me fait me demander si je devrais pas tout arreter, pour changer.
[^] # Re: de quoi
Posté par Deraison Renaud . En réponse à la dépêche L'accès au site de Nessus devient restreint. Évalué à 10.
Cela fait trois ans que je travaille sur Nessus, et trois ans qu'il est et reste libre, et je pense savoir ce que cela signifie.
Maintenant, lorsque je vois une entreprise lors de sa présentation commerciale sortir que "leur" moteur est le meilleur, et que après questions du public ils admettent qu' "un des composants" est Nessus, alors que dans les faits, Nessus+Whisker+Nmap font 99% du boulot, il ne s'agit plus vraiment de logiciel mais de discours marketting foireux. Lorsque la meme société, six mois avant, questionnée sur leur moteur affirme que c'est leur propre technologie, ca fait mal. Ce qui fait encore plus mal c'est que encore et toujours la meme société, lorsqu'au meme salon on lui dit "ah bon, vous n'utilisez pas Nessus ?" ils affirment "si si. Mais on n'en est pas très content. On a réécrit tous les plugins, parceque l'auteur n'a pas l'air de savoir ce qu'il fait", alors qu'en pratique ils s'en servent tel quel, je ne peux pas tolérer cela. Idem lorsqu'on télécharge la brochure sur leur site web et qu'elle ne mentionne aucun logiciel libre.
Pour résumer, parceque je vois passer tout et n'importe quoi :
- Je ne demande a personne de diffuser les modifs qu'ils font aux sources de Nessus. Je suis conscient de la réalité commerciale et je sais que ce n'est pas envisageable (déjà que 90% des ASPs utilisent Nessus, si en plus ils publient leur modifs, la seule différence ce sera les gifs animés) ;
- Je n'ai pas l'intention de changer de license ;
- Je demande que plutot que d'utiliser les termes "notre technologie" et "notre moteur" et "le fruit de notre R&D", ils disent plus simplement "Nessus". Idem pour les fonctionnalités - lorsqu'ils disent "Notre moteur testera un serveur web alors qu'il tourne sur le port 21", c'est un mensonge. C'est Nessus et mon code qui font ça ;
- Je demande que des sociétés qui vivent exclusivement de mon produit contribuent. Et pas seulement en publiant trois tests de vulnérabilité sur un an. On a besoin de matériel, de developeurs, etc, etc... Lorsque je fait un appel sur la liste Nessus pour des changements majeurs qui seraient de toute facon bénéfiques pour les ASPs, ils font la sourde oreille.
Voila. Et comme j'ai pas de XP, modérez tous ca a +255 :)
[^] # Re: C'est plus fort que toi ...
Posté par Deraison Renaud . En réponse à la dépêche L'accès au site de Nessus devient restreint. Évalué à 10.
Sur rien du tout, c'est complètement idiot de dire que la Loi française est plus forte que la GPL. Cela n'a aucun sens.
Si, tout simplement parceque :
- En France, tu ne peux pas révoquer un droit
- Tout le monde est d'accord sur le fait que le modèle ASP c'est un point qui n'a pas été prévu à l'origine par la GPL.
- La GPL n'est pas rédigée en français, donc de toute façon elle n'est pas légale en France.
- Tout citoyen français a un droit à la propriété intellectuelle
Donc à mon gout, ça se défendrait au tribunal, du moins face à une société française comme c'est le cas aujourd'hui (les pires ne sont pas toujours au fin fond de la planète, ils peuvent aussi être situés pas loin de chez vous. A Rennes par exemple).
# Pas bon du tout
Posté par Deraison Renaud . En réponse à la dépêche projet de loi sur la communauté (;-) de l'information. Évalué à 1.
Or, l'article 323-2 dit :
"le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé est puni ...".
On remarque l'absence du mot frauduleux (merci à Franck-qui-se-reconnaitra pour m'avoir fait remarquer ca).
Ca veut dire que demain, je trouve un déni de service Linux, je le publie => prison.
Pire, je fait un scanner de vulnérabilités gratuit (quelconque hein ;) => prison.
Donc pas une belle loi du tout. Il faut tous se plaindre contre l'article 35 (ou faire modifier le 323-2 pour rajouter le mot "frauduleux").