Pour des raisons de sécurités, évidemment. D'après cet article du Register, tous les sous-domaines de co.cc auraient été supprimés des résultats du moteur de recherche. Ce fournisseur de services Internet serait utilisé par des programmes malicieux.
Protéger le pauvre utilisateur sans défense sur le grand méchant Internet. Est-ce de la responsabilité à Google de protéger l'utilisateur (dans ce cas particulier) ? Non. Actuellement la sécurité informatique est un gag, un énorme gag même, pour la simple est bonne raison que les responsables s'en tapent purement et simplement : ceux qui produisent des logiciels pourris (en terme de sécurité).
En effet ces sociétés devraient être tenue pour responsable. Microsoft ou Apple (ou d'autres comme Sony) font des milliards en vendant des produits défectueux. On va, bien entendu, me dire que ce n'est pas possible de faire un programme 100% sécurisé, mais là n'est pas la question. Un virus informatique peut endommager des machines utilisées dans l'industrie nucléaire. Ce n'est pas nouveau : le problème du Therac-25 qui irradia (et tua) au moins 6 personnes dans les années 80 notamment à cause d'un bug logiciel.
Ce que je souhaite réellement, c'est qu'enfin des garanties soient apportées par les vendeurs de logiciels. Mais pas si on prend un contrat spécial support, dès l'achat du logiciel. Pas une garantie "j'ai perdu mes données en voulant faire du rangement avec le bouton del" mais une garantie "j'ai été sur le Web et maintenant mon compte en banque est vide parce qu'un méchant virus dans un vilain PDF a pris le contrôle de mon ordinateur"; ces garanties qu'on trouve dans certains logiciels Libres, comme djdns ou dovecot.
Il est temps de suivre (le grand) Bruce Schneier et de mettre les producteurs de code responsable de leurs bugs :
One hundred percent of the liability shouldn't fall on the shoulders of the software vendor, just as 100% shouldn't fall on the attacker or the network owner. But today, 100% of the cost falls directly on the network owner, and that just has to stop.
Cent pour cent de la responsabilité ne devrait pas être mise sur le créateur de logiciel, autant que le 100% ne devrait pas être sur l'attaquant ou le propriétaire du réseau. Mais aujourd'hui, 100% des coûts retombent sur le propriétaire du réseau, et ça, ça ne devrait plus exister.
Oui aujourd'hui c'est l'administrateur qui s'occupe entièrement de la sécurité du réseau et des logiciels. C'est toi, le pauvre admin, qui va faire le tour de toutes les machines parce qu'une infection a été détectée. Et si des donnée sont perdues à cause de ça, c'est toi qu'on va insulter parce que tu n'as pas su sécurisé ces bouses de Flash ou autres Windows. Et en même temps on voit Apple indiquer à son support de ne pas aider les victimes d'un virus pour le supprimer, déplaçant une fois de plus le problème sur l'administrateur.
J'ai souvenir d'un achat d'un appareil d'analyse. La machine était livrée avec un ordinateur. Afin de gagner du temps, ils ont pris l'ordinateur de démo, celui qui avait fait déjà une trentaine de labos. Et ils sont arrivés avec un ordinateur chargé de virus et des données d'autres labos (dans le domaine de la génétique, j'ai pas regarder avant d'atomiser la machine, mais il y'avait certainement de l'ADN humain, vive la protection de la vie privé). Et c'est qui qui nettoie le bordel ? l'administrateur ...
Pourquoi j'ai parlé de Google et de censure au début ? C'est le même genre de cas. Google, dans cette situation, est l'administrateur. Et c'est pas à lui de faire de la censure de résultats pour protéger des logiciels mal-foutus. Ce n'est pas le plus efficace (les sites existent toujours, ils sont plus dur à trouver), ça emmerde ceux qui ont aussi utilisés, honnêtement, un sous-domaine co.cc et ça rend le moteur de recherche moins neutre.
Responsabiliser les producteurs de logiciel et/ou le permis de tuer pour les administrateurs, c'est ainsi qu'on améliorera la sécurité globale. Bon, je vais aller exécuter l'utilisateur qui a amené un virus la semaine passée (selon les rites sacrés des administrateurs Mayas).
# Responsabilité
Posté par mr_spoke . Évalué à 8.
Je ne comprends pas pourquoi l'éditeur d'un système d'exploitation devrait être responsable de ce qui est exécuté dessus. Avec une logique comme celle-ci, tu légitimises l'existence des « App Store » exclusifs qui empêchent l'utilisateur d'installer quelconque autre logiciel que ceux certifiés par l'éditeur de l'OS.
[^] # Re: Responsabilité
Posté par Etienne Bagnoud (site web personnel) . Évalué à 9.
Tu n'as pas besoin de comprendre vu qu'il n'a jamais été question de responsabiliser l'éditeur de l'OS pour un logiciel qui tourne sur cet OS.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Éducation
Posté par briochette . Évalué à 1.
La sécurité, elle commence au maillon le plus faible de la chaîne, l'utilisateur. En effet, à quoi ça sert d'avoir un UAC ou des anti-virus de chocs qui demandent toutes les 10min si on veut vraiment faire ce qu'on veut faire, et qui du coup se fait désactiver alors que l'utilisateur lance volontairement une saloperie récupérée sur un site (ou email) tordu?
Ça reviendrait à imputer la responsabilité au constructeur de véhicules en cas d'accident dans un pays qui n'a pas de permis de conduire.
briochette, la petite brioche
[^] # Re: Éducation
Posté par Etienne Bagnoud (site web personnel) . Évalué à 7.
Non, la sécurité elle ne doit pas commencer chez la personne la moins compétente. Si les pros ne peuvent pas démontrer la sécurité, comment imposer un comportement sécurisé à l'utilisateur. Quand un utilisateur se retrouve avec son ordinateur infecté parce qu'il a simplement ouvert un pdf malicieux, tu peux rien faire pour lui, juste lui dire : "ben c'est Adobe qui laisse des failles dans ces produits, tu n'y es pour rien".
La sécurité devrait être une tâche partagée entre plusieurs acteurs, mais si les gros ne font pas l'effort, on ne peut pas demander aux utilisateurs de le faire.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Éducation
Posté par pasBill pasGates . Évalué à -9.
Et c'est quel effort qu'on ne fait pas ?
Allez, donnes moi donc un exemple d'effort qu'on ne fait pas mais que cette fantastique communaute Linux (ou les entreprises autour) fait.
Appeler ce que Google fait une censure est, desole du terme, une grosse connerie. Esperer qu'un utilisateur avec des dizaines de softs & plugins installes sur sa machine en moyenne soit tout le temps a jour est une chimere, peu importe l'OS, sans parler du fait qu'enormement de malwares n'utilisent absolument pas une faille mais la credulite de l'utilisateur.
Partant de la que Google bloque un gros nid de malware sans aucune autre valeur est tout a leur honneur. Ca aidera enormement de gens s'y connaissant peu qui se feraient avoir sans cela, que leur OS soit sur et/ou a jour ou pas.
[^] # Re: Éducation
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
C'est dans le journal, pas de garanties.
C'est dans le journal, j'ai cité dovecot et djdns.
Et ? La responsabilité sera à qui de droit, je vois pas ce que tu veux dire là.
Ma critique n'est pas là, mais sur le fait que le réseau n'est pas fait pour assurer la sécurité des machines connectées. Le réseau est sensé être un simple tuyau.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Éducation
Posté par pasBill pasGates . Évalué à -1.
C'est dans le journal, pas de garanties.
Des garanties ? C'est TECHNIQUEMENT IMPOSSIBLE , comment veux tu qu'on donne des garanties lorsque c'est techniquement irrealisable ?
C'est dans le journal, j'ai cité dovecot et djdns.
Super ! Tu veux que je te trouves 2-3 composants dans Windows qui n'ont jamais eu de failles ? Sans probleme hein. Mais on parle d'un OS entier utilise par 1 milliard de gens donc cible privilegiee, pas de 2 softs utilises par 3 pekins.
Faudrait penser a comparer ce qui est comparable.
Et ? La responsabilité sera à qui de droit, je vois pas ce que tu veux dire là.
Et ? Tu trouves pas que proteger ta grand-mere est mieux que lui dire "facile, va te plaindre a Adobe !" ?
Ma critique n'est pas là, mais sur le fait que le réseau n'est pas fait pour assurer la sécurité des machines connectées. Le réseau est sensé être un simple tuyau.
Et rien n'a change, ces pages n'ont pas disparu du reseau, elles ont simplement ete evaluees comme ayant zero valeur pour les utilisateurs de Google. Tu vas peut-etre me dire que cette evaluation est mauvaise ?
[^] # Re: Éducation
Posté par Etienne Bagnoud (site web personnel) . Évalué à 6.
Non, tu parles de ça, moi je parle de tous les logiciels.
Non, c'est uniquement financier, ce n'est rien de technique.
Je connais ta position sur ce sujet, mais actuellement je parle uniquement de coût de la sécurité des logiciels. À l'heure actuelle le coût d'un trou de sécurité dans un logiciel est entièrement sur l'entité opérant le réseau d'ordinateur. Quand un virus frappe l'infrastructure où je travail, c'est entièrement payé par mon patron pour nettoyer le bordel. Si le virus arrive par un utilisateur qui a exécuté n'importe quoi, c'est normal que le coût soit localisé chez moi. Quand le virus se propage par un zero-day exploit n'ayant besoin d'aucune intervention humaine pour fonctionner, c'est à l'éditeur du logiciel en question de participer aux frais.
C'est très facile de faire la course aux fonctionnalités, par contre c'est extrêmement difficile de maintenir la qualité dans ces conditions. Très peu de choses sont faites par les éditeurs dans ce cas ou ça commence, mais doucement (et je sais que Microsoft fait des efforts particuliers pour redorer son image et c'est très bien, mais d'autres ne font toujours rien).
Je ne parle pas de fournir des logiciels sans bug, je parle de fournir une responsabilité financière auprès des éditeurs dans des cas bien précis, ceux où le système est infecté par un exploit distant ne nécessitant pas d'intervention utilisateur particulière.
Et dans la situation actuelle, je pense que Microsoft serait gagnant à entrer dans cette voie avec ces futurs systèmes.
N'insulte pas les administrateurs n'ayant pas choisi de solution uniquement Microsoft. Dovecot est le logiciel IMAP/POP de OS X Server et djbdns n'est pas un inconnu sur le marché des serveurs DNS.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Éducation
Posté par pasBill pasGates . Évalué à -2.
Non, c'est uniquement financier, ce n'est rien de technique.
Non justement, c'est technique aussi. Parce que si tu vends un soft et qu'il a le malheur d'avoir du succes, alors le jour ou une faille apparait, chose contre laquelle tu ne peux pas grand-chose et que tu dois payer tout le monde, tu es en faillite.
C'est très facile de faire la course aux fonctionnalités, par contre c'est extrêmement difficile de maintenir la qualité dans ces conditions. Très peu de choses sont faites par les éditeurs dans ce cas ou ça commence, mais doucement (et je sais que Microsoft fait des efforts particuliers pour redorer son image et c'est très bien, mais d'autres ne font toujours rien).
C'est extremement difficile de faire des softs sans failles point. Rien a voir avec course a la fonctionnalite ou pas. Tu sembles croire qu'il y a des failles parce que les developpeurs preferent passer du temps a rajouter des features qu'a faire les choses proprement, et tu as tout faux. Non pas que certains ne le font pas, mais nombre de societes font attention a la qualite, et malgre cela ont toujours des failles.
Je ne parle pas de fournir des logiciels sans bug, je parle de fournir une responsabilité financière auprès des éditeurs dans des cas bien précis, ceux où le système est infecté par un exploit distant ne nécessitant pas d'intervention utilisateur particulière.
Et dans le cas de MS qui a 30 millions de lignes de code installees chez 1 milliard de gens, tu esperes comment qu'on arrive a payer pour quelque failles sans etre en faillite ? A 2$ la faille en estimant qu'on ne paie que 50% des systemes, ca nous fait 1 milliard par faille, a 8 failles par an dans 30 millions de lignes MS perd de l'argent sur Windows.
N'insulte pas les administrateurs n'ayant pas choisi de solution uniquement Microsoft. Dovecot est le logiciel IMAP/POP de OS X Server et djbdns n'est pas un inconnu sur le marché des serveurs DNS.
Je me contentes de regarder les parts de marche, djbdns est un nain de jardin compare a BIND et autres, Dovecot est tout simplement non-existant et tu sais parfaitement que 3 pekins est probablement une estimation optimiste du nombre d'utilisateurs de Mac OS X en serveur.
# malicieux -> malveillant !
Posté par fasthm . Évalué à 10.
« Ce fournisseur de services Internet serait utilisé par des programmes malicieux. »
Malveillants !
Malicieux c'est "Ah Ah Hi Hi Oh Oh très amusant !"
Malveillant c'est "Nom de bip de fils de bip de bip de bip qu'est-ce-que ça vient me faire bip ce bip de truc à la bip".
La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".
[^] # Re: malicieux -> malveillant !
Posté par Etienne Bagnoud (site web personnel) . Évalué à 1.
Oui, je me suis un peu mélanger les pinceaux ... désolé T_T
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: malicieux -> malveillant !
Posté par Grunt . Évalué à 10.
C'est très malveillant, comme commentaire.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: malicieux -> malveillant !
Posté par B16F4RV4RD1N . Évalué à 8.
moi je l'ai plutôt trouvé malicieux :)
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: malicieux -> malveillant !
Posté par JGO . Évalué à 2.
Dans ce cas, :en:Ping-Pong virus est malicieux (:en:Cascade (computer virus) aussi mais en plus chiant).
# Et pourquoi pas mettre en garde l'utilisateur et le laisser faire comme un grand ?
Posté par marahi . Évalué à 3.
J'abhorre cette politique papa-poule de la part de certains opérateurs qui surprotègent l'utilisateur ! ah oui, c'est pour son bien qu'ils disent... (certains bien pensants de chez MS voulaient même isoler les machines infectées du réseau, avec toutes les conséquences que cela pourrait avoir)
A ma connaissance, il y a quelques temps, Google affichait un message sur les liens renvoyant vers des sites à risque, on pouvait alors cliquer à ses risques et périls ou pas, mais on avait au moins le choix de faire ou non des niaiseries. Firefox m'a souvent mis en garde contre des sites malveillants ou infectés (certains étant connus et légitimes, mais contenant à l'insu de leurs propriétaires du code malveillant)
le .co.cc est peut-être utilisé par des sites malveillants, mais qu'en est-il des sites légitimes ? doivent-il être sacrifiés sur l'autel de la sécurité ?
[^] # Re: Et pourquoi pas mettre en garde l'utilisateur et le laisser faire comme un grand ?
Posté par Gniarf . Évalué à 2.
ils l'ont fait récemment pour une paire de botnets. on peut deviner qu'ils ont demandé et obtenu l'aval de l'autorité US concernée (CIA ou FBI ou NSA ou chais plus qui gère ça...)
d'après une capture d'écran que j'ai vu passer, ils peuvent demander à se faire whitelister. maintenant, il va se passer quoi s'ils sont hébergés sur du mutualisé bien troué qui font que régulièrement ces sites légitimes seront quand même plombés par du javascript tiers permettant de profiter de vulnérabilités PDF, Java ou Flash ?
Google a son avis sur la question, on dirait. et je suis d'accord avec eux. les éditeurs de sites ne sont pas les clients ni les utilisateurs de Google, juste des gentils pigeons^Wfournisseurs de contenu. c'est comme si OVH ou le .info (re)devenait le paradis des jean-kevin, les clients légitimes - et responsables - iront voir ailleurs si le responsable ne veut pas intervenir ou faire le ménage. et s'ils ne le font pas, ils deviennent complices, ne serait-ce que par leur soutien financier et moral à tout cela. faut savoir ce qu'on veut, des fois, dans la vie
# foutaises
Posté par Gniarf . Évalué à 4.
administrateur de quoi ? du service magique qui prend un critère de recherche en entrée et ressort des résultats et des pubs en sortie ?
c'est un peu court, jeune homme.
ils fournissent divers services, ils tiennent divers rôles dont celui d'éditeur même s'ils s'en cachent, le terme d'administrateur ne veut pas dire grand chose. "fournisseur du service" ? "responsable technique de sa bonne marche" ?
et d'ailleurs tu ne crois pas qu'ils ne sont pas un minimum responsables des résultats renvoyés ? c'est à se demander pourquoi ils ont perdu divers procès à ce sujet et qu'ils présentent ce genre de trucs : http://www.google.com/transparencyreport/governmentrequests/
tu voudrais un outil au dessus des lois ? c'est marrant, j'ai l'impression que ça serait illégal. et le Far West, en passant, mais bref. si c'est ça que tu veux, va t'installer en Russie et fricote avec la mafia locale
(mon petit doigt me souffle qu'un éditeur Français refourgue des versions de VLC aggrémentées de spywares/adwares, paye les moteurs de recherche pour en faire de la pub, et se prend pour le nouveau JC Decaux. donc pas la peine d'aller en Russie)
peut-être qu'il raisonne en termes de parts de marché et qu'il se dit qu'il va gagner en réputation (ou au moins ne pas perdre) en lourdant des sites ou hébergeurs, datacenters... douteux. ou limite qu'il va améliorer ainsi la qualité de ses résultats, à défaut de juste aider à protéger les vilains lusers.
ah, et tu sais que ça fait des années qu'ils proposent des blacklists de sites pourris pour Firefox, Opera, Chrome...
bref, ce n'est peut-être pas à lui de le faire, mais s'il a envie de le faire, c'est son choix et son droit. si ça te plait pas, tu utilises pas. ou tu portes plainte, tiens, qu'on rigole. peut-être même que tu te feras rembourser ce service.. ah merde, il semble gratuit.
vu le nombre de madames Michu qui utilisent plus ou moins directement Google, on va dire que ça sera efficace tout court. si madame Michu ne connait que Google, et encore par la petite case de son navigateur, et que Google lui cache ces attrape-couillons, c'est tant mieux : la machine de madame Michu sera vérolée moins vite et ne servira pas pour m'envoyer du spam.
ce n'est pas parce que je ne tomberai pas dans ce genre d'arnaques que les gens qui y tomberont ne me causeront pas du tort, tu vois.
d'après une capture d'écran, Google a invité ces gens-là à se manifester
bon je vais t'avouer quelque chose, il est tout sauf neutre et ça fait des années que ça dure. limite j'ai l'impression que ce n'est pas un service public ou une ONG mais bien de vils capitalistes. m'étonnerait pas qu'ils rentrent en bourse un de ces quatre...
croire qu'il est neutre et que les résultats sont simplement le fruit d'un algorithme simplement secret, sans aucune bidouille ni manipulation pour plaire aux gouvernements locaux, c'est comme croire en son motto "don't be evil". c'est être un sacré Teletubby. mêmes couleurs, en passant...
[^] # Re: foutaises
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Dans le sens du poste de Bruce Schneier. En fait j'ai juste illustré une idée avec ce cas. J'aurais pu utiliser le cas des FAI qui bloque le port 25, par exemple.
En fait, je critique une situation où c'est le réseau qui protège les logiciels du client sur ce réseau. Parce que les logiciels ont une sécurité très faible, au lieu de corriger les logiciels, on utilise le réseau pour les protéger. C'est juste une situation illogique qui existe : le réseau ne doit pas être utilisé pour sécuriser les postes de travail.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: foutaises
Posté par Gniarf . Évalué à 4.
faut pas tomber dans l'anthropomorphisme. ce n'est pas le logiciel qui est client du FAI ou de l'hébergement et qui paye, ce sont des vrais gens.
et un fournisseur qui ne protège pas ses clients du mauvais comportement (volontaire ou pas) de ses autres clients, sous-entendu sur le même bout de réseau géré par le fournisseur, euh... faut qu'il change de métier
alors après oui le fournisseur doit contacter son client et lui dire qu'il fait chier parce que XYZ, mais en attendant que le client règle son problème (s'il le fait un jour), bah oui, aucun remord à brider son service
maintenant, pour certains services coupés à l'avance (en préventif ou en nazi, comme vous voulez), que ca soit le 25 ou les bons vieux 135, 137-139... oui ça peut devenir un critère de choix du FAI
# oh puis tiens hop
Posté par Gniarf . Évalué à 2.
c'est pas Google mais Microsoft, mais ça fait le ménage tout de même :
http://www.theregister.co.uk/2011/07/11/ms_security_search_malware_links_poisioning/
censure, ménage, tout pareil.
# Va au bout de ton raisonnement.
Posté par Grunt . Évalué à 2.
Tu dénonces le fait que les administrateurs ou les éditeurs de services se retrouvent emmerdés à cause de logiciels vérolés, et tu as raison.
Mais faire peser sur l'éditeur du logiciel la responsabilité (donc, le fait de nettoyer) c'est ne pas remonter la chaîne jusqu'au bout.
Le responsable final c'est le responsable du parc informatique vérolé, et c'est sur lui qu'il faut faire peser la responsabilité. Autrement dit, c'est monsieur Michu le responsable de la vérole du PC de monsieur Michu, et c'est l'entreprise X responsable de la vérole du parc de travail de l'entreprise X.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Va au bout de ton raisonnement.
Posté par Etienne Bagnoud (site web personnel) . Évalué à 5.
Actuellement c'est le cas. Si tu as un virus actif sur le réseau que tu maintiens, c'est sur toi qu'on gueule (et des fois ça vient du FAI qui analyse le trafic et trouve des comportements suspects). C'est toi qui paie l'intégralité des frais inhérents à la détection et nettoyage du virus.
Actuellement il y'en a qu'un qui est emmerder dans la chaîne : l'administrateur. Entre les éditeurs qui font le minimum en terme de sécurité, les utilisateurs qui considèrent que c'est pas leurs problèmes, la direction qui ne veut pas non plus une sécurité trop fermée pour pas emmerder les utilisateurs, ... Tu fais quoi ? Tu mets en place des moyens complexes d'analyse en temps réel de virus, de spam, de trafic, ... et ça ne suffit pas. Après tu te retrouves à devoir bloquer des choses, mais les utilisateurs hurlent (tu vois assez souvent "putain, l'admin à bloquer [insérer un protocole autre que http/https] en sortie/entrée, c'est un con"), donc la direction te tombe dessus ... Et pendant ce temps tu regrades les éditeurs se faire des millions en sortant des bouses en terme de sécurité avec des notices "nous déclinons toutes responsabilités en cas de problèmes de sécurités car nous faisons une course à la fonctionnalité et la sécurité c'est un truc de pucelle".
Mais le permis de tuer serait plus efficace ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Va au bout de ton raisonnement.
Posté par Grunt . Évalué à 2.
Dans le cas d'un particulier, l'administrateur c'est souvent celui qui choisit les logiciels. S'il en a marre d'être emmerdé, qu'il change de logiciels.
Dans le cas d'une entreprise, ou de certains particuliers, celui qui paie l'administrateur est celui qui choisit les logiciels. S'il a envie de payer son administrateur pour s'emmerder pendant des heures, c'est son choix. Peut-être que ça serait plus rentable pour lui d'acheter des logiciels sécurisés et de confier des trucs intelligents à son administrateur.
Au lieu de râler sur LinuxFR, va râler contre ton employeur, ou demande une augmentation, ou change de boulot, ou explique-lui qu'il serait gagnant avec de meilleurs logiciels et en te faisant faire autre chose.
Et puis, je maintiens que dans la majorité des cas d'infection, le problème vient de l'utilisateur, qui fait n'importe quoi avant de réfléchir.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Va au bout de ton raisonnement.
Posté par Etienne Bagnoud (site web personnel) . Évalué à 1.
T'as tout compris, sauf que les logiciels sécurisés ça n'existe pas vraiment. C'est là tout le problème. Et pour qu'ils existent, il faut trouver un moyen de rendre les logiciels peu sécurisés faiblement rentable; le marché favorise les logiciels de mauvaise qualité.
T'es pas obligé de me lire.
Oh pas tout de suite, je vais encore faire 5, après je me lance dans autre chose ... mais c'est pas le sujet.
Et je maintiens que ceux qui disent ça n'ont jamais travaillé avec des "vrais" utilisateurs ou sont tellement antipathiques que les utilisateurs ont peur de venir s'adresser à eux dès qu'ils ne savent pas quoi faire. L'éducation ça marche pas si t'insulte le gars qui comprend pas : c'est évident pour toi, mais ça ne l'est pas pour tout le monde.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Va au bout de ton raisonnement.
Posté par Grunt . Évalué à 2.
Le marché ne favorise pas le manque de sécurité, il rend juste ce critère très peu important.
Ensuite, il faudrait savoir ce que tu appelles "logiciel sécurisé". S'agit-il: -
- De logiciels que l'éditeur blinde contre les actes de l'utilisateur, type iOS? Si tu fais travailler les gens sur iPad ils ont peu de chance de choper un virus.
- De logiciels vraiment conçus pour la sécurité? À ce moment-là, tu mets un BSD à tes utilisateurs, un navigateur en CLI (pas de faille javascript, pas de faille Flash, rien), un éditeur de texte en CLI et tu les fais travailler en LaTeX,
- De logiciels convivials que toi, administrateur, tu peux verrouiller? C'est ce que tu dénonces, à savoir le fait que l'administrateur verrouille tout et ça fait râler les gens.
On dirait que tu cherches le Graal.
Tu veux que, avec des utilisateurs capables d'accepter n'importe quelle demande (installer flash_player.exe pour voir la vidéo de la mort de Ben Laden), ET qui ont le droit d'installer client_irc.exe sans se faire bloquer, ET qui ne veulent pas apprendre, on fabrique des logiciels magiques qui soient faciles d'emploi (exit le BSD en CLI), qui soient résistants aux failles et aux bêtises des utilisateurs.
Il ne s'agit bien souvent pas de comprendre mais d'apprendre à lire. Quand il faut gueuler sur l'utilisateur pour que ça rentre, il faut avoir le cran de lui gueuler dessus. Et la patience d'expliquer gentiment quand la situation nécessite d'expliquer gentiment.
Tu essaies de résoudre la quadrature du cercle, là.
En fait, si, la solution à ton besoin existe peut-être. Un éditeur va peut-être un jour proposer un logiciel agréable pour tes utilisateurs, logiciel qui soit capable de faire la différence entre une action inoffensive (installation volontaire d'un client IRC), une action idiote (installation d'un troyen flash_player.exe qui téléphone maison via IRC), qui présente des fonctionnalités modernes (du type Web 2.0 qui clignote avec Java/Flash/Javascript) tout en étant patché super rapidement contre les failles que ces fonctionnalités impliquent.
Et ce logiciel sera tellement cher, parce qu'il coûtera tellement de développement et de veille sécurité à produire et à mettre à jour, que pour le payer on va te virer vu que, de toute façon, on n'aura plus besoin de toi.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Va au bout de ton raisonnement.
Posté par Etienne Bagnoud (site web personnel) . Évalué à 2.
Et voilà, on y arrive ... Après si tout le monde trouve ça normal, c'est clair que le marché ne va pas changer. Et comme tout le monde trouve ça normal, on va continuer à avoir des failles à la Sony.
Ce n'est pas normal que la sécurité ne soit pas un critère important. Mais si on veut le rendre important, la meilleure solution est de responsabiliser aussi les éditeurs de logiciel.
Je cherche toujours la meilleure solution à un problème.
Pas tout à fait. Je veux que les éditeurs assument les failles de type exploit à distance sans intervention de l'utilisateur (sans intervention spécial, ce genre de failles seraient à la charge de l'éditeur) et dans des conditions normales. Exactement comme propose dovecot ou djbdns.
Je crois pas que c'est excessif.
C'est une méthode d'éducation. Je ne l'aime pas et jusqu'à maintenant ça fonctionne bien ainsi, ils ont acquis de bon réflexes et se renseignent spontanément quand ils ne savent pas. Il y'a toujours des personnes chez qui ça rentrent pas, mais ça ne rentrera jamais ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Va au bout de ton raisonnement.
Posté par Michaël (site web personnel) . Évalué à 3.
À cet endroit une règlementation pourrait pallier le manque d'information ou de bonne volonté des consommateurs: comme pour la ceinture de sécurité, le contrôle technique, l'assurance immobilière, la barrière autour de la piscine etc., l'état pourrait contraindre les éditeurs de logiciel «tout public» à respecter certaines caractéristiques dans leurs produits.
# MacDefender
Posté par pasScott pasForstall . Évalué à -4.
Ah, tu parles de ca?
http://support.apple.com/kb/ht4650
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.