Pas garantir que le soft n'a pas de bug. Mais voilà le genre de garanties qui me feraient changer de solution :
- Garantie sur l'intégrité des données. Si, en cas d'utilisation normal, les données venaient à se corrompre, Microsoft assume la responsabilité.
- Garantie sur les corrections de bug. Si un bug apparaît, la garantie que la correction est effectuée dans un temps X
- Garantie sur les fonctionnalités. Si j'ai X fonctionnalités à l'achat, j'ai toujours X fonctionnalités après Y mises à jour.
- Garantie sur le choix matériel/logiciel. Si je prends le matériel Y (spécifié par Microsoft), j'ai une garantie de fonctionnement (donc je peux installer le système dessus depuis un CD/DVD officiel, ça va marcher (pas passer des heures sur le net à trouver une solution)).
- Garantie sur la sécurité. Les X attaques connues ont été testées en profondeur et si mon serveur meurt d'une de ces X attaques, Microsoft assume.
Et ce n'est rien d'exceptionnel là, puisque Microsoft fait déjà se travail mais ne fournis pas de garanties contractuelles sur ces sujets (ou en partie). Je n'ai jamais eu le cas d'un NTFS se corrompre en utilisation normal, faites le pas, garantissez maintenant.
Donc sans ce genre de choses, je ne vois aucun avantage d'une solution serveur Microsoft face à une solution serveur Debian, réellement. Aucune des solutions m'apportent des garanties.
Fais passer le mot au service marketing ;-)
PS: je cite Microsoft ici, mais c'est parce que je parle avec toi, mais c'est valable pour les autres aussi.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Mais je sais tout ça. Juste que je suis pas d'accord sur "impossibilité technique". Parce que si je peux donner des garanties, pourquoi les autres ne pourraient pas ?
La question que je me poses c'est qu'est-ce qui différencie un logiciel Libre d'un logiciel propriétaire ?
Bon ok, une entreprise comme Microsoft a en place certains processus qui, je penses, me seront expliqués si je le demande (dans la manière de gérer les problèmes, d'appréhender des attaques, ...), dans une distribution comme Debian, je retrouve ça. La grande différence c'est que Microsoft aura des certifications qui attestent que c'est bien le cas (mais pour avoir vécu le passage d'une entreprise en ISO, je suis de moins en moins convaincu, mais ça n'engage que moi) ou, pour rester dans le thème, le "threat modeling" sera appliqué avec, vu les moyens, les meilleures experts du domaine.
Au-delà de ça, il n'a rien de bien différent. Et apporter des garanties, même limitées, serait un élément qui changerait beaucoup de choses pour moi.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Mais on peut prendre un navigateur. Javascript, est-ce vraiment utile ? N'aurait pas eu meilleure temps de s'arranger que le support CSS et HTML soit de qualité et identique partout ?
Ça fait quoi bientôt vingt ans qu'on développe des navigateurs Web, la seule chose que tu es certain que ça fonctionne, c'est le HTTP.
C'est vrai c'est complexe à garantir, mais étrangement il y a des logiciels qui donnent des garanties. Pas sur tout, mais sur des points importants. Prends djbdns, il offre 1000$ à celui qui trouve une faille de sécurité. Ça c'est une garantie.
Alors on peut faire de le "threat modeling" qu'on veut, si à la fin y'a un bug et pis ... ben on le corrigera dans une mise à jour, je vois pas à quoi ça sert. Et je ne vois aucun argument qui me donne envie de faire confiance en cette manière de faire.
La sécurité commence là où les gens prennent leur responsabilité, sans responsabilité pas de sécurité.
Et finalement ces garanties existent et sont données. Au travail je dois donner des garanties de fonctionnement et tout et tout. Se faisant on devient un peu plus terre-à-terre et c'est exit toutes les solutions où tu as pas un contrôle totale dessus. L'option serait des garanties, mais c'est juste pas assez rentable pour Microsoft.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
C'est l'argument typique, mais en même temps il faudrait peut-être arrêter de développer de nouvelles fonctionnalités à toute vitesse et commencer à utiliser pleinement ce qui existe. On blinde les serveurs de nouvelles technos imparables, mais on arrive toujours pas à faire mieux que HTTP comme protocole de communication, l'unique protocole supporté partout (et non je ne compte pas les mails parce qu'un équipe de débile à inventé le TNEF).
C'est claire que les guerres à la "fonctionnalité qui tue", ça va pas aider à produire du logiciel de qualité et c'est bien plus rentable. Le jour où on oblige une garantie sur les logiciels aussi (parce qu'il y en a sur le matériel), et bien tu verras qu'il y aurait bien moins de technos inutiles (ou vaguement utile) et un poil plus de logiciel de qualité (et moins de réécriture complète de systèmes).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Non, je parles des vrais garanties _financières_ en cas de pertes de données, de pertes de temps de travail (le logiciel plante, on bosse pas), des garanties pour moi : "J'ai mis en place comme recommandé, ça a planté, voyez avec Microsoft (donc virez moi pas)".
Il faut pas rêver, le fric c'est le nerf de la guerre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Ici, le fait est que IBM refuse à TurboHercules le droit d'acheter leur OS et le revendre avec une plateforme non-IBM.
Et une licence non-libre ! TurboHercule veut diffuser sa solution avec une licence pas reconnue par OSI !!!
C'est quoi que tu comprends pas dans "licence pas libre" ?
C'est la première lettre de TurboHercule à IBM :
Sepecifically, we would like you to consider making available to your mainframe customers a license for IBM operating systems on the TurboHercules platform. TurboHercules S.A.S., as the commercial entity, would provide support for a complete turnkey system based on these licenses. The pricing, conditions and limitations of that license would be at the sole discretion of IBM on reasonable and fair terms.
Spécifiquement, nous voudrions que vous considériez rendre disponible votre licence client "mainframe" pour les systèmes d'exploitations sur la plateforme TurboHercules. TurboHercules S.A.S, comme entité commerciale, voudrait fournir un support pour une solution "clé en main" basée sur ces licences. Les prix, les conditions et les limitations de cette licence sera à l'unique discrétion d'IBM sur des termes raisonnables et équitable.
Et ça c'est la demande de TurboHercule à IBM qui a conduit à la fameuse lettre qui fait polémique (suite au refus d'IBM d'accorder la demande précédente): If you believe that the Hercules open source project infringes any IBM intellectual property, please identify it so that we can investigate that claim.
Si vous pensez que le projet libre d'Hercule viole la propriété d'IBM, pourriez-vous identifier ça pour qu'on puisse approfondir vos dire.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Si c'est bien TurboHercules qui attaque IBM, et si IBM n'a absolument rien dit concernant un ou plusieurs quelconques brevets, pourquoi TurboHercules demande à IBM une liste de brevets enfreints?
Ça les a pris tout d'un coup?
Et bien tu aurais du prendre le temps de lire les articles, tu aurais évité de dire n'importe quoi.
TH cherche juste à pouvoir vendre la solution "HP Proliant, Windows Server 2008, émulateur TurboHercule" avec la bénédiction d'IBM (donc pas être inquiété par IBM en utilisant des licences non-OSI), mais IBM refuse. Ce refus a été utilisé par TH pour dire qu'IBM les attaquait.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Désolé, j'ai pris la version anglaise http://en.wikipedia.org/wiki/Copyleft et là c'est dans copyleft (mais weak). Et le site gnu.org n'est pas plus clair là-dessus.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Mozilla a livré Firefox avec le support GIF et JPEG malgré les brevets dessus, et refuse de faire la même chose pour H.264 pour cette raison, hum
Le cas de H.264, c'est un cas "guerrier". Quand Mozilla est arrivé, soit tu faisais GIF et JPEG, soit tu existais pas (je simplifie). Dans le cas H.264, rien n'est encore joué, donc ils poussent dans le sens qui les arrange. Mais s'il faut, à l'avenir, avoir du H.264 pour exister, ils auront du H.264.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
J'ai mes petits tests à moi. Ensuite le patch est distribué et avant que cela passe en version stable, il y a des testeurs.
Ensuite la remontée du correctif plus haut permet aussi que les gens qui maîtrisent le logiciel mieux que moi l'intègre ou non.
Je ne te parle pas de faire un logiciel qui marche pour le monde entier, je n'administre pas le monde entier, mais pour moi. Si après d'autres ne veulent pas ma manière de faire, ils peuvent prendre autre chose, je suis pas triste.
Mais pour moi, le point essentiel, c'est des garanties sérieuses de la part des entreprises de logiciel. Qu'on me dise : "Voilà dans les conditions X, le logiciel fonctionne correctement. Voici la garantie du fonctionnement Y.". Si un problème arrive, pouvoir prouver que j'avais les conditions X et qu'on m'a garanti le fonctionnement Y, c'est pour moi le stricte nécessaire. Si Microsoft me fourni ces garanties là, je passes tout de suite sur du Microsoft. Mais un logiciel où je n'ai _aucun_ contrôle et qui commence par un texte disant que je l'utilise "à mes risques et périls", je vois, finalement, pas quel business j'ai à faire avec Microsoft.
En gros si on me vend du logiciel closed-source, j'attends des garanties. Sinon je vois pas vraiment ce qu'on me vend, vu que pour moins chère j'ai exactement la même chose (en terme de garanties et de fonctionnalités), mais où je peux plus facilement engager _ma_ responsabilité.
Parce qu'il faut pas rêver, mais au final la question de sécurité, c'est surtout "qui paie ?" dans une entreprise.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Non je n'ai pas les compétences de faire un audit. Mais, par exemple, aujourd'hui je debug mon serveur DNS.
D'avoir le code source me permet de réparer un dysfonctionnement quand je le détecte et ensuite j'aurais des risques en moins sur mon système. Personnellement je ne peux _pas_ tester un code pour trouver un problème futur, mais je peux réagir très vite quand je trouve un problème.
J'ai corrigé un bug dans un outil (web) qu'on utilisait pour accéder à notre annuaire LDAP. La session n'était pas détruite lorsque l'utilisateur se déconnectait, cela permettait à un méchant de faire du vol de session, mais si l'utilisateur se déconnectait correctement.
J'ai corrigé un bug sur OpenLDAP qui permettait, sans authentification aucune, de faire tomber le serveur LDAP !
Parce que j'ai rencontré ces problèmes et que j'ai eu les informations à disposition, j'ai pu les résoudre, envoyer ça en upstream et aujourd'hui certains logiciels sont un poil plus sécurisé.
Quand le firewall checkpoint plantait, à part envoyer un 32ème mail d'insulte que ça fait trois mois qu'on attend, je pouvais rien faire.
C'est certain, je n'ai pas les capacités techniques de faire de la sécurité pro-active, mais, travaillant tous les jours avec des logiciels serveurs, je rencontre des bugs que personnes n'a rencontré et des fois je peux les corriger, sinon je les signale juste.
La responsabilité finale, peu importe la solution open ou closed source, c'est sur moi. Donc si je choisis du closed source et qu'il y a un problème, je prends dans les dents autant qu'avec l'open source, par contre avec l'open source j'arrive à corriger les bugs avant que les utilisateurs s'en rende compte car je testes l'utilisation du logiciel dans "mes" conditions avant de le donner à l'utilisateur.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Mais je trouve que dans ce domaine on en fait beaucoup trop dans un sens et pas assez dans l'autre. En fait on commence à créer de plus en plus de logiciel où l'on rajoute des couches de confirmations pour l'utilisateur (prends les navigateurs web et le SSL, c'est bientôt 3'000 cliques pour se connecter à un site avec self-signed certificate). C'est le résultat de "Threat modeling", à mon avis.
Un logiciel sécurisé, c'est un logiciel où l'utilisateur peut directement accéder à l'information dont il a le droit, où l'administrateur peut contrôler pleinement toutes les couches de sécurités (et les désactiver s'il juge nécessaire) et où le développeur a pris toutes les précautions nécessaires et connues. Et pour que cela existe, il faut pas créer des nouveaux concepts, il faut commencer par apporter des garanties.
Une information est perdue parce que j'utilise le logiciel X "closed-source", je perds ma place de travail.
Une information est perdue parce que j'utilise le logiciel Y "open-source", je perds ma place de travail.
Donc si j'utilises des systèmes Microsoft (c'est pas du troll) je n'ai aucune garantie de la part de Microsoft et je mets en jeu ma place de travail autant qu'avec des logiciels open-source, sauf que dans un cas j'ai accès au code.
La première menace informatique c'est l'obscurité. Si je ne peux pas voir tous les rouages du système que j'utilise, comment je peux les montrer aux utilisateurs et les éduquer à utiliser correctement le logiciel ?
Si, d'un autre côté, l'entreprise, qui me cache le fonctionnement du logiciel, prend ses responsabilités et me donne la garantie que cela fonctionne et que je ne risque pas mon travail en utilisant le logiciel, je veux bien être aveugle. Mais prendre l'option "j'assume les responsabilités d'un truc que je ne peux pas voir", c'est exclu.
Alors pour faire du "threat modeling", il faut mettre les _bons_ problèmes de sécurités en avant. La sécurité par l'obscurité est le premier problème. Résolvons cette menace en premier, donnez nous le code ou des garanties formelles !
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Oui je parlais pas tellement du monde de l'entreprise. C'est clair que, travaillant proche du domaine médicale, on a des données très sensible sur certaines personnes et c'est assez flippant de savoir le nombre de portes de sorties pour ces données.
Mais au final, en entreprise, je crois pas qu'il ait grand chose à faire. Celui qui s'attaque en frontal au système informatique, il a rien compris. Regardes la cas de HBC et du vol d'informations : tu veux des données informatiques, tu passes par les êtres humaines, c'est sûre, fiable, de qualité et moins chère.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
La problématique des données privilégiées est surtout d'en avoir ou pas. La majorité des applications qui te demandent ces informations n'en ont pas besoin, c'est juste un besoin commercial, pas fonctionnel.
Combien d'applications demandent des informations super-sensibles pour, au final, ne nécessité que d'un nom d'utilisateur et d'un mot de passe pour fonctionner ?
Je penses qu'avant de se demander "comment protéger ces informations privilégiées ?" il faut se demander "quelles informations privilégiées sont _réellement_ nécessaires ?". En se tenant au besoin fonctionnel, on devrait diminuer nettement les risques.
Et finalement je suis pour qu'on responsabilise les dirigeants d'entreprises ayant perdues ce genre de données si le service ne nécessite pas, de manière fonctionnelle, ces données et si ces données sont obligatoires (si l'utilisateur à librement choisi de donner ces informations, c'est son problème) ou récoltées sans que l'utilisateur soit conscient.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Disons que c'est presque logique. Ils ont racheté On2, qui est à l'origine de Theora, donc ils peuvent tranquillement pousser les technos d'On2 dans Theora au lieu de produire un nouveau codec qui devrait encore s'imposer. Theora est là et ils représentent un fort pourcentage d'utilisateur.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Le problème du chauffage est d'abord à la construction. Il y a des gens qui présentaient leur maison, en paille, généralement ils n'ont pas de chauffage en fonction sauf quand la température extérieur est au-dessous de -10°. C'est la chaleur de leur corps qui fourni le chauffage. J'ai souvenir que le corps humain c'est plus de 60W de dégagement thermique.
Donc pour chauffer chez vous, investissez dans la bière : ayez toujours une dizaine de potes qui boivent des bières, plus de 600W d'énergie de chauffage ! En hiver inviter une vingtaine chaque jour.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Aaah oui Mail. C'est grâce à cette application que les webmail sont obligés d'exister. Mon collègue avec son super Mail c'est juste génial :
- Je t'ai envoyé un mail
- Non j'ai rien reçu
- Si, si ...
- Mais non !
- Va voir sur ton Webmail
- Ouais mais non
- Va voir
[ Il va ]
- Ah ouais ! Je comprends pas, attends alors je redémarre Mail et puis je ...
Sinon l'interface graphique est très jolie.
le nombre de machines sous Mac OS qui se font hacker ou qui se chopent des virus
Je te laisserais faire les recherches qui se doivent sur ce sujet. Quand parle sécurité, on parle pas du nombre de fanboys qui a perdu ces données (parce que ça Apple s'en charge http://timecapsuledead.org/), mais bien des fonctionnalités pour protéger l'utilisateur. Et l'iPhone a eu des jolies critiques aussi. Maintenant Apple commence à être une cible de choix.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Vivant dans les Alpes et pas loin d'un parc à éolien, je peux consommer autant que je veux c'est que de l'écologique et du renouvelable.
D'ailleurs au lieu de chauffer avec des radiateurs, je mets le four au max et je laisses la porte ouverte, j'utilises des ampoules 200W à incandescence (sous-optimisée pour assurer que 99% de l'énergie parte en chaleur) et je fais tourner pleins d'ordi au max avec des boucles inutiles mais faisant travailler le CPU, le GPU, la RAM et les disques.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 3.
- Garantie sur l'intégrité des données. Si, en cas d'utilisation normal, les données venaient à se corrompre, Microsoft assume la responsabilité.
- Garantie sur les corrections de bug. Si un bug apparaît, la garantie que la correction est effectuée dans un temps X
- Garantie sur les fonctionnalités. Si j'ai X fonctionnalités à l'achat, j'ai toujours X fonctionnalités après Y mises à jour.
- Garantie sur le choix matériel/logiciel. Si je prends le matériel Y (spécifié par Microsoft), j'ai une garantie de fonctionnement (donc je peux installer le système dessus depuis un CD/DVD officiel, ça va marcher (pas passer des heures sur le net à trouver une solution)).
- Garantie sur la sécurité. Les X attaques connues ont été testées en profondeur et si mon serveur meurt d'une de ces X attaques, Microsoft assume.
Et ce n'est rien d'exceptionnel là, puisque Microsoft fait déjà se travail mais ne fournis pas de garanties contractuelles sur ces sujets (ou en partie). Je n'ai jamais eu le cas d'un NTFS se corrompre en utilisation normal, faites le pas, garantissez maintenant.
Donc sans ce genre de choses, je ne vois aucun avantage d'une solution serveur Microsoft face à une solution serveur Debian, réellement. Aucune des solutions m'apportent des garanties.
Fais passer le mot au service marketing ;-)
PS: je cite Microsoft ici, mais c'est parce que je parle avec toi, mais c'est valable pour les autres aussi.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 2.
La question que je me poses c'est qu'est-ce qui différencie un logiciel Libre d'un logiciel propriétaire ?
Bon ok, une entreprise comme Microsoft a en place certains processus qui, je penses, me seront expliqués si je le demande (dans la manière de gérer les problèmes, d'appréhender des attaques, ...), dans une distribution comme Debian, je retrouve ça. La grande différence c'est que Microsoft aura des certifications qui attestent que c'est bien le cas (mais pour avoir vécu le passage d'une entreprise en ISO, je suis de moins en moins convaincu, mais ça n'engage que moi) ou, pour rester dans le thème, le "threat modeling" sera appliqué avec, vu les moyens, les meilleures experts du domaine.
Au-delà de ça, il n'a rien de bien différent. Et apporter des garanties, même limitées, serait un élément qui changerait beaucoup de choses pour moi.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 3.
Mais on peut prendre un navigateur. Javascript, est-ce vraiment utile ? N'aurait pas eu meilleure temps de s'arranger que le support CSS et HTML soit de qualité et identique partout ?
Ça fait quoi bientôt vingt ans qu'on développe des navigateurs Web, la seule chose que tu es certain que ça fonctionne, c'est le HTTP.
C'est vrai c'est complexe à garantir, mais étrangement il y a des logiciels qui donnent des garanties. Pas sur tout, mais sur des points importants. Prends djbdns, il offre 1000$ à celui qui trouve une faille de sécurité. Ça c'est une garantie.
Alors on peut faire de le "threat modeling" qu'on veut, si à la fin y'a un bug et pis ... ben on le corrigera dans une mise à jour, je vois pas à quoi ça sert. Et je ne vois aucun argument qui me donne envie de faire confiance en cette manière de faire.
La sécurité commence là où les gens prennent leur responsabilité, sans responsabilité pas de sécurité.
Et finalement ces garanties existent et sont données. Au travail je dois donner des garanties de fonctionnement et tout et tout. Se faisant on devient un peu plus terre-à-terre et c'est exit toutes les solutions où tu as pas un contrôle totale dessus. L'option serait des garanties, mais c'est juste pas assez rentable pour Microsoft.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 4.
C'est claire que les guerres à la "fonctionnalité qui tue", ça va pas aider à produire du logiciel de qualité et c'est bien plus rentable. Le jour où on oblige une garantie sur les logiciels aussi (parce qu'il y en a sur le matériel), et bien tu verras qu'il y aurait bien moins de technos inutiles (ou vaguement utile) et un poil plus de logiciel de qualité (et moins de réécriture complète de systèmes).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 2.
Il faut pas rêver, le fric c'est le nerf de la guerre.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: hmmm
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 4.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: hmmm
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Un serveur Windows parmi 5000 : début. Évalué à 10.
Pas besoin http://goodbye-microsoft.com/
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ils ont demandé un audit spontanément?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 5.
Et une licence non-libre ! TurboHercule veut diffuser sa solution avec une licence pas reconnue par OSI !!!
C'est quoi que tu comprends pas dans "licence pas libre" ?
C'est la première lettre de TurboHercule à IBM :
Sepecifically, we would like you to consider making available to your mainframe customers a license for IBM operating systems on the TurboHercules platform. TurboHercules S.A.S., as the commercial entity, would provide support for a complete turnkey system based on these licenses. The pricing, conditions and limitations of that license would be at the sole discretion of IBM on reasonable and fair terms.
Spécifiquement, nous voudrions que vous considériez rendre disponible votre licence client "mainframe" pour les systèmes d'exploitations sur la plateforme TurboHercules. TurboHercules S.A.S, comme entité commerciale, voudrait fournir un support pour une solution "clé en main" basée sur ces licences. Les prix, les conditions et les limitations de cette licence sera à l'unique discrétion d'IBM sur des termes raisonnables et équitable.
Et ça c'est la demande de TurboHercule à IBM qui a conduit à la fameuse lettre qui fait polémique (suite au refus d'IBM d'accorder la demande précédente):
If you believe that the Hercules open source project infringes any IBM intellectual property, please identify it so that we can investigate that claim.
Si vous pensez que le projet libre d'Hercule viole la propriété d'IBM, pourriez-vous identifier ça pour qu'on puisse approfondir vos dire.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ils ont demandé un audit spontanément?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal analyse de Groklaw sur l'affaire TurbiHercule versus IBM. Évalué à 7.
Ça les a pris tout d'un coup?
Et bien tu aurais du prendre le temps de lire les articles, tu aurais évité de dire n'importe quoi.
TH cherche juste à pouvoir vendre la solution "HP Proliant, Windows Server 2008, émulateur TurboHercule" avec la bénédiction d'IBM (donc pas être inquiété par IBM en utilisant des licences non-OSI), mais IBM refuse. Ce refus a été utilisé par TH pour dire qu'IBM les attaquait.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: classique...
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Jucetice. Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Licence
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Convertir une page web en document ODT, c'est maintenant possible. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Licence
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Convertir une page web en document ODT, c'est maintenant possible. Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Licence
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Convertir une page web en document ODT, c'est maintenant possible. Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Ils se moquent du monde ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Google soutien Theora. Évalué à 5.
Le cas de H.264, c'est un cas "guerrier". Quand Mozilla est arrivé, soit tu faisais GIF et JPEG, soit tu existais pas (je simplifie). Dans le cas H.264, rien n'est encore joué, donc ils poussent dans le sens qui les arrange. Mais s'il faut, à l'avenir, avoir du H.264 pour exister, ils auront du H.264.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 3.
Ensuite la remontée du correctif plus haut permet aussi que les gens qui maîtrisent le logiciel mieux que moi l'intègre ou non.
Je ne te parle pas de faire un logiciel qui marche pour le monde entier, je n'administre pas le monde entier, mais pour moi. Si après d'autres ne veulent pas ma manière de faire, ils peuvent prendre autre chose, je suis pas triste.
Mais pour moi, le point essentiel, c'est des garanties sérieuses de la part des entreprises de logiciel. Qu'on me dise : "Voilà dans les conditions X, le logiciel fonctionne correctement. Voici la garantie du fonctionnement Y.". Si un problème arrive, pouvoir prouver que j'avais les conditions X et qu'on m'a garanti le fonctionnement Y, c'est pour moi le stricte nécessaire. Si Microsoft me fourni ces garanties là, je passes tout de suite sur du Microsoft. Mais un logiciel où je n'ai _aucun_ contrôle et qui commence par un texte disant que je l'utilise "à mes risques et périls", je vois, finalement, pas quel business j'ai à faire avec Microsoft.
En gros si on me vend du logiciel closed-source, j'attends des garanties. Sinon je vois pas vraiment ce qu'on me vend, vu que pour moins chère j'ai exactement la même chose (en terme de garanties et de fonctionnalités), mais où je peux plus facilement engager _ma_ responsabilité.
Parce qu'il faut pas rêver, mais au final la question de sécurité, c'est surtout "qui paie ?" dans une entreprise.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 4.
D'avoir le code source me permet de réparer un dysfonctionnement quand je le détecte et ensuite j'aurais des risques en moins sur mon système. Personnellement je ne peux _pas_ tester un code pour trouver un problème futur, mais je peux réagir très vite quand je trouve un problème.
J'ai corrigé un bug dans un outil (web) qu'on utilisait pour accéder à notre annuaire LDAP. La session n'était pas détruite lorsque l'utilisateur se déconnectait, cela permettait à un méchant de faire du vol de session, mais si l'utilisateur se déconnectait correctement.
J'ai corrigé un bug sur OpenLDAP qui permettait, sans authentification aucune, de faire tomber le serveur LDAP !
Parce que j'ai rencontré ces problèmes et que j'ai eu les informations à disposition, j'ai pu les résoudre, envoyer ça en upstream et aujourd'hui certains logiciels sont un poil plus sécurisé.
Quand le firewall checkpoint plantait, à part envoyer un 32ème mail d'insulte que ça fait trois mois qu'on attend, je pouvais rien faire.
C'est certain, je n'ai pas les capacités techniques de faire de la sécurité pro-active, mais, travaillant tous les jours avec des logiciels serveurs, je rencontre des bugs que personnes n'a rencontré et des fois je peux les corriger, sinon je les signale juste.
La responsabilité finale, peu importe la solution open ou closed source, c'est sur moi. Donc si je choisis du closed source et qu'il y a un problème, je prends dans les dents autant qu'avec l'open source, par contre avec l'open source j'arrive à corriger les bugs avant que les utilisateurs s'en rende compte car je testes l'utilisation du logiciel dans "mes" conditions avant de le donner à l'utilisateur.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 3.
Mais je trouve que dans ce domaine on en fait beaucoup trop dans un sens et pas assez dans l'autre. En fait on commence à créer de plus en plus de logiciel où l'on rajoute des couches de confirmations pour l'utilisateur (prends les navigateurs web et le SSL, c'est bientôt 3'000 cliques pour se connecter à un site avec self-signed certificate). C'est le résultat de "Threat modeling", à mon avis.
Un logiciel sécurisé, c'est un logiciel où l'utilisateur peut directement accéder à l'information dont il a le droit, où l'administrateur peut contrôler pleinement toutes les couches de sécurités (et les désactiver s'il juge nécessaire) et où le développeur a pris toutes les précautions nécessaires et connues. Et pour que cela existe, il faut pas créer des nouveaux concepts, il faut commencer par apporter des garanties.
Une information est perdue parce que j'utilise le logiciel X "closed-source", je perds ma place de travail.
Une information est perdue parce que j'utilise le logiciel Y "open-source", je perds ma place de travail.
Donc si j'utilises des systèmes Microsoft (c'est pas du troll) je n'ai aucune garantie de la part de Microsoft et je mets en jeu ma place de travail autant qu'avec des logiciels open-source, sauf que dans un cas j'ai accès au code.
La première menace informatique c'est l'obscurité. Si je ne peux pas voir tous les rouages du système que j'utilise, comment je peux les montrer aux utilisateurs et les éduquer à utiliser correctement le logiciel ?
Si, d'un autre côté, l'entreprise, qui me cache le fonctionnement du logiciel, prend ses responsabilités et me donne la garantie que cela fonctionne et que je ne risque pas mon travail en utilisant le logiciel, je veux bien être aveugle. Mais prendre l'option "j'assume les responsabilités d'un truc que je ne peux pas voir", c'est exclu.
Alors pour faire du "threat modeling", il faut mettre les _bons_ problèmes de sécurités en avant. La sécurité par l'obscurité est le premier problème. Résolvons cette menace en premier, donnez nous le code ou des garanties formelles !
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 4.
Mais au final, en entreprise, je crois pas qu'il ait grand chose à faire. Celui qui s'attaque en frontal au système informatique, il a rien compris. Regardes la cas de HBC et du vol d'informations : tu veux des données informatiques, tu passes par les êtres humaines, c'est sûre, fiable, de qualité et moins chère.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Et ne pas avoir à protéger ces informations ?
Posté par Etienne Bagnoud (site web personnel) . En réponse à la dépêche Threat modeling - Savez vous quelles sont les menaces qui guettent votre application ?. Évalué à 7.
Combien d'applications demandent des informations super-sensibles pour, au final, ne nécessité que d'un nom d'utilisateur et d'un mot de passe pour fonctionner ?
Je penses qu'avant de se demander "comment protéger ces informations privilégiées ?" il faut se demander "quelles informations privilégiées sont _réellement_ nécessaires ?". En se tenant au besoin fonctionnel, on devrait diminuer nettement les risques.
Et finalement je suis pour qu'on responsabilise les dirigeants d'entreprises ayant perdues ce genre de données si le service ne nécessite pas, de manière fonctionnelle, ces données et si ces données sont obligatoires (si l'utilisateur à librement choisi de donner ces informations, c'est son problème) ou récoltées sans que l'utilisateur soit conscient.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Croisons les doigts
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Google soutien Theora. Évalué à 4.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Non !
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal [Le vendredi, c'est permis] L'autohébergement est-il écoresponsable ?. Évalué à 4.
Donc pour chauffer chez vous, investissez dans la bière : ayez toujours une dizaine de potes qui boivent des bières, plus de 600W d'énergie de chauffage ! En hiver inviter une vingtaine chaque jour.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Hallucinant
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Achetez notre téléphone et en plus subissez nos pubs.. Évalué à 3.
quand on veut troller, on est bien obliger de lire de travers un minimum.
Ou écrire de manière ambiguë !
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Hallucinant
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Achetez notre téléphone et en plus subissez nos pubs.. Évalué à 2.
- Je t'ai envoyé un mail
- Non j'ai rien reçu
- Si, si ...
- Mais non !
- Va voir sur ton Webmail
- Ouais mais non
- Va voir
[ Il va ]
- Ah ouais ! Je comprends pas, attends alors je redémarre Mail et puis je ...
Sinon l'interface graphique est très jolie.
le nombre de machines sous Mac OS qui se font hacker ou qui se chopent des virus
Je te laisserais faire les recherches qui se doivent sur ce sujet. Quand parle sécurité, on parle pas du nombre de fanboys qui a perdu ces données (parce que ça Apple s'en charge http://timecapsuledead.org/), mais bien des fonctionnalités pour protéger l'utilisateur. Et l'iPhone a eu des jolies critiques aussi. Maintenant Apple commence à être une cible de choix.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Non !
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal [Le vendredi, c'est permis] L'autohébergement est-il écoresponsable ?. Évalué à 10.
D'ailleurs au lieu de chauffer avec des radiateurs, je mets le four au max et je laisses la porte ouverte, j'utilises des ampoules 200W à incandescence (sous-optimisée pour assurer que 99% de l'énergie parte en chaleur) et je fais tourner pleins d'ordi au max avec des boucles inutiles mais faisant travailler le CPU, le GPU, la RAM et les disques.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Lapin compris ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Achetez notre téléphone et en plus subissez nos pubs.. Évalué à 1.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell