> Vous gueulez comme quoi MS exagere en utilisant le mot "crime".
1 - je ne gueule pas si fort que ça
2 - "on parle du pourquoi/comment MS USA a nomme cet acte", justement, je ne suis pas sur qu'on parle de la même chose. Moi je parle de toi qui dit que c'est un crime. Après tu peux choisir d'être porte parole de MS USA, c'est ton choix, mais jusqu'ici j'avais l'impression que les propos que tu tenaient sur ce site reflétaient ton opinion personnelle, et je pense que c'est encore le cas. Tu peux choisir de répéter la même chose que la maison mère de manière systématique, mais le fait qu'une boîte ait appelé ça crime aux US n'empêche pas que sur un site quand même relativement francophone (LinuxFR) on s'indigne de ce genre d'appellation.
Je reprends tes propos: > Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel > Tu veux qu'ils utilisent les termes de quel pays ? France ? Zimbabwe ? Australie ? C'est une boite americaine !
Faudrait savoir si tu parles en ton nom ou si tu es porte parole de MS USA. Je veux bien que MS USA appelle un crime n'importe quoi, de toutes façons en tant que citoyen français je n'ai pas de compte à leur rendre. Maintenant c'est toi qui dit que c'est un crime. Après tu peux considérer que tout ce que dit MS USA est parole divine et fait donc foi, c'est ton droit, mais ce n'est pas mon cas. Quand tu dis "c'est un acte criminel", c'est toi qui porte le jugement que je sache. Ou alors dis simplement "c'est un acte criminel d'après MS USA". Mais l'attitude que tu as est exactement celle que je déplore: une boîte aux US déclare "ceci est un crime" et ensuite, tout le monde considère que c'en est un. Je ne sais pas lequel de nous 2 est aux US, mais en tous cas ce n'est pas moi, donc que viens faire la loi américaine dans tout cela, je ne suis pas censé la respecter que je sache.
Pas besoin de lien pour le prouver. Avec Palladium et l'informatique "de confiance" les éditeurs de logiciels peuvent faire faire ce qu'ils veulent à ta machine. Tu ne peux pas savoir ce que font les programmes qui tournent dessus, tu *dois* leur faire confiance. Couplé avec l'EUCD, le fait même _d'essayer_ de savoir ce que font tes programmes sera illégal. Chercher à comprendre le pourquoi du comment de ce que fait ton ordinateur sera donc un "crime" d'après MS 8-)
the Services are for your personal and non-commercial use.
La restriction ne s'applique pas qu'aux logiciels téléchargeables, elle s'applique à l'ensemble des services proposés en ligne.
> Microsoft a raison d'appeler ca un crime
Surtout, ça les arrange bien de noircir le tableau. C'est bien simple la notion de délit est carrément rayé des dictionnaires pour les éditeurs de logiciel. Dès que tu fais quelque chose de mal -> crime!
En plus, tant qu'on ne connaît pas exactement l'auteur du DDoS, bien malin qui peut dire sous quelle juridiction il va tomber. C'est peut-être un coréen qui a commencé par hacker une machine en Allemagne pour rebondir en Australie puis enfin lancer son bidule depuis le Texas. Va savoir... Dans l'affaire, Microsoft n'est même pas si impliqué que ça, quelqu'un a exploité une faille de leur serveur, mais ça en reste à priori là. MS n'est pas vraiment la victime ni le coupable.
> aux USA c'est un crime
Quel beau pays 8-) Il n'empeche qu'il y a surement eu aussi des machines françaises, allemandes, chinoises, etc. touchée par le vers (qui apparemment frappe au hasard et sans discrimination). Et là il n'y a pas crime.
Il est regrettable que le fait que les US considère les intrusions comme des crimes déteigne sur les autres pays.
Et je fais comment pour sniffer une communication cryptée? Je ne sais pas pour toi mais moi aujourd'hui la plupart des infos importantes qui sortent de mon ordi sont cryptées (j'utilise ssh par exemple) donc avec un sniffeur je vais pas comprendre grand chose...
Franchement, si j'avais envie de créer un spyware, la 1ère chose que je ferais c'est de crypter la communication. Comment avec TCPA/Palladium puis-je être sûr que quand je lance Windows Update Microsoft ne collecte pas d'informations relatives à mon PC? Je suis *obligé* de faire confiance, je n'ai pas le moyen de le vérifier.
> Tu sais très bien que ces utilitaires et infos sont disponibles pour tout le monde.
Alors montre-moi où précisément il est écrit que ces utilitaires sont disponibles pour tout le monde et tous les usages. Moi j'ai pas vu.
Il n'y a pas de "tu sais très bien" qui tienne. Je m'en tiens à ce qui est écrit dans les licences, le reste c'est du pipo.
> Qui te dit qu'on parle de la France la ?
D'abord, je ne parle pas spécialement de France. L'utilisation du terme "crime" pour désigner tout délit informatique fait partie d'une dérive générale, la même qui fait appeler "pirate" la personne qui ose lire un DVD avec un logiciel libre. L'utilisation des champs lexicaux du crime / de la piraterie pour désigner tout acte informatique contraire aux lois est AMHA très malsaine, et est responsable de pas mal de non sens et de quiproquos.
Ensuite, il n'existe aujourd'hui aucune instance juridique internationale digne de ce nom. Seules quelques tribunaux existent, et sont réservés en général au jugement d'hommes politiques pour des crimes de guerre ou autres pratiques sans comparaison avec le lancement d'un DDOS. Que je sache, la plupart des jugements sont aujourd'hui prononcés dans un pays donné. C'est d'ailleurs ce qui justifie les procédures d'extradition et autres. En plus, la loi est différente dans chaque pays. C'est donc tout naturellement que je me réfère à la loi française, vu que je suis français et que j'habite en France. Les quelques "lois" internationales qui existent consistent en général en des accords signés entre pays, chaque pays s'accordant pour intégrer la "loi" en question dans sa propre législation. Donc en respectant la loi française, je respecte de facto un bon nombre de lois communes à d'autres pays, par exemple je n'ai pas le droit de dupliquer des CD d'installation de Windows et les filer à mes potes.
Dans tous les cas, je ne vois pas en quoi le terme délit est un terme franco-français. Je ne connais pas dans le détail les législations des autres pays, mais pour moi il y a 2 cas possibles:
- Soit le pays a la distinction entre crime et délit. Et dans ce cas je serais surpris qu'un DDOS soit considéré comme un crime. Pour moi le DDOS, c'est du même tonneau qu'une grêve de routiers qui bloque les autoroutes. Ca fait chier, ça bloque les axes de communication, mais c'est quand même pas la fin du monde.
- Soit le pays n'a pas la distinction entre crime et délit, auquel cas effectivement on peut parler par défaut de crime. Il se trouve que notre législation et notre langue mettent à notre disposition un moyen de faire la nuance, rien ne nous empêche d'en profiter.
Enfin, en utilisant le terme crime en français, tu évoque - peut-être involontairement - quelque chose de particulier, généralement considéré comme plus grave qu'un délit, et qui peut très concrêtement t'envoyer aux assises. Si tu veux être factuel et ne pas entrainer de confusion, ne dis pas: "saturer la bande passantes de dizaines d'ISPs est un acte criminel"
mais dis plutôt quelque chose du genre: "saturer la bande passantes de dizaines d'ISPs est un acte illégal"
C'est moins tendancieux.
> Pour la mise à jour et la sécurisation des serveurs windows, microsoft met à disponibilité beaucoup de très bon utilitaires
Sauf que cette "mise à disponibilité" est sujette à tout un tas de restrictions: http://www.microsoft.com/info/cpyright.htm(...)
entres autres: "Unless otherwise specified, the Services are for your personal and non-commercial use"
Bref, le problème avec les mise à jour MS, c'est qu'à chaque fois tu dois accepter une nouvelle licence, et j'ai autre chose à foutre que de lire 200 lignes chaque fois que je fais une MAJ de sécurité. Et *non* je ne suis pas prêt à accepter certaines clauses des CLUF Microsoft que je trouve abusives. Et *oui* je considère qu'il est important de lire la licence avant d'installer un soft.
> Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel, si tu preferes jouer au malin avec des phrases debiles libre a toi
Ce n'est pas un crime c'est un délit. Nuance. Je ne vois pas pourquoi faire un DDoS emmènerait l'auteur devant la cour d'assises. C'est peut-être illégal, mais faudrait un peu arrêter de balancer les termes crime/criminel dès que quelqu'un enfreint la loi et que ça touche à l'informatique...
En tant que particulier, tu n'as pas accès aux sources des programmes Microsoft, donc tu ne peux pas savoir ce qu'ils font.
Microsoft a la possibilité de t'empêcher de lancer tout programme qu'il n'a pas envie de certifier. C'est certes un procès d'intention mais il faut quand même considérer que c'est une pratique déjà en cours dans le cas des téléphones Orange. Comme tu ne peux pas lancer les programmes que tu veux, tu ne peux pas toujours lancer des programmes ad hoc d'analyse de la mémoire / du traffic réseau / du contenu de ton disque... Donc en fait tu es obligé de faire "confiance" à Microsoft, avec TCPA/Palladium, tu n'as plus les moyens de vérifier l'intégrité de ta machine. Tu dois faire confiance à un tiers. C'est d'ailleurs *le* principe du système. On parle en effet de "trusted computing". Le "trusted" veut dire: "moi, utilisateur, je fais confiance à l'éditeur de logiciel".
Hors le contenu des licences Microsoft ne m'encourage pas à leur faire confiance, vu que grosso-modo ils ne s'engagent sur rien, mais se contentent de restreindre tes droits.
Notons que si les divers gouvernements américains ou européens sont à peu près tous d'accord pour dire que le flicage systématique des internautes est un moyen efficace de lutter contre l'insécurité / le terrorisme / la fraude / les méchants / etc. il semblerait que la remise en cause du sacro-saint secret bancaire ne soit pas à l'ordre du jour. M'est avis que c'est le genre de chose qui serait beaucoup plus efficace, quand on traque des escrocs. D'autant plus que le secret bancaire, ça n'est ni pour vous ni pour moi, on n'y a de toutes façon pas droit en tant que citoyen lambda. Concrêtement, on nous explique que surveiller nos connexions Internet à usage privé, c'est normal, par contre surveiller les comptes d'une entreprise, c'est contraire à une certaine éthique dont on se demande bien d'où elle sort.
Oui, et M Ravel peut ainsi toucher les droits sur ses oeuvres dans sa tombe, enfin presque... http://www.nouvelobs.com/articles/p1993/a87697.html(...)
Maintenant je sais à quoi sert la taxe sur les CDR! Ceci dit par contre j'espère que l'info est fausse mais j'ai bien peur qu'elle soit vraie...
Quand a ameliorer le produit
L'idée n'est pas de corriger les bugs que MS n'est pas capable de trouver. MS est certainement bien capable de trouver des bugs. L'idée est surtout de trouver et de corriger les bugs dont MS n'a rien à faire parce que leur correction coûterait trop cher par rapport aux bénéfices que le bug-fix représente en terme de ventes. Par exemple, le fait que la fonction search/replace de notepad ait été limitée à 32 caractères jusqu'à (minimum) Win98 et NT4 (je vais de ce pas vérifier pour W2K) témoigne du fait que certaines limitations ne sont simplement "pas importantes" pour MS. Il y a plein d'autres limitations des produits MS qui peuvent être des blocages pour certains utilisateurs, mais dont MS décide que "ça ne vaut pas le coup de corriger".
reste encore a voir la proportion de bugs trouves en lisant du code compare aux bugs trouves par test
reste encore à voir la proportion de bugs corrigés en exécutant du code compilé avec les options de debug, en le lançant depuis un débuggeur, en disposant du code source à côté et en pouvant tracer pas à pas tout ce qui se passe, par rapport aux bugs trouvés en exécutant un binaire strippé façon "boîte noire" avec de toutes façons quasimment aucun espoir de pouvoir changer quoi que ce soit.
Trouver les bugs c'est bien, les corriger c'est mieux.
> on prévoit d'abord le résultat voulu, et on met en place la méthode de calcul en fonction de ca......
Eh mais chuuuuuuuut fallait pas le dire, maintenant tout le monde va être au courant 8-)
> Faux, archi faux. C'est un moyen pour toi de vérifier, plus vite que tu ne pourrais le faire sans, des propriétés sur ton programme. Ça n'a rien à voir avec une signature. Si ton certificat te permet de vérifier faclement que y'a pas de bufferoverflow, tu peux avoir sur ce point une confiance bien plus grande que la signature de Debian, qui dit elle "jusque là, on en a pas trouver, donc on vous file le truc".
???
Pas compris... En quoi TCPA garantit-il qu'il n'y a pas de buffer overflow? C'est le revendeur du programme qui l'affirme mais il est logé à la même enseigne que le revendeur Debian: il a produit un code et il doit vérifier que celui-ci ne comporte pas de bug ou de faille de sécurité. A ma connaissance, il n'existe pas aujourd'hui d'outils magique qui détecte automatiquement tous les buffers overflows et toutes les failles de sécurité. Les outils tels que purify sont encore bien imparfaits, et ne permettent que l'accélération de la recherche de bug, mais en aucun ils ne permettent une éradication systématique des fautes de programmation. Donc signature TCPA ou sceau MD5 c'est pareil: ça te dit que le programme que tu as est le même que celui que le programmeur voulait distribuer, et que tous les bugs que le programmeur a réussi à trouver ont été corrigés.
La signature TCPA n'apporte pas plus que la signature MD5 d'un paquet Debian du point de vue de l'utilisateur. Par contre vis-à-vis du revendeur du programme la différence est notoire car dans le 1er cas les éditeurs peuvent décider que si tu utilise un programme sans avoir la bonne signature alors le programme fonctionne en mode dégradé, voire pas du tout.
A part ça la signature des paquets n'est absolument pas une garantie de sécurité du système. On peut aujourd'hui installer un système Linux avec de bons paquets bien signés et avoir au final un OS bourré de trous de sécurité. La sécurité c'est certes des binaires conformes mais c'est aussi la configuration qui va avec...
En plus, TCPA passe élégamment sous silence tous les langages de script. Il est trivial d'écrire un virus en VBScript, et pourtant l'interpréteur VBScript sera vraisemblablement signé correctement d'un point de vue TCPA vu qu'il est produit et édité par Microsoft. Que se passe-t-il alors? L'interpréteur vérifie toujours la signature d'un script avant de l'éxécuter? Comment les éditeurs de pages webs font-ils pour certifier toutes leurs pages? Qui se porte garant de la sécurité des scripts embarqués dans les courriers électroniques - et qui font quand même pas mal de dégâts aujourd'hui?
TCPA n'apporte en réalité aucune forme de sécurité valable pour l'utilisateur, tout au plus elle renforce le contrôle des éditeurs de logiciel sur l'utilisation de leur produit par les consommateurs, et accessoirement elle discrédite tous les programmes libres en les qualifiant arbitrairement de "non sécurisés".
Dernier point, il suffit de lire une licence Microsoft aujourd'hui pour voir que les éditeurs de logiciel ne se mouillent pas beaucoup question sécurité. Je ne serais pas étonné que les 1ers logiciels TCPA qui arriveront viennent avec des licenses similaires, où l'éditeur du soft se dégage de toute responsabilité. Donc concrêtement, point de vue sécurité vis-à-vis de l'éditeur ça sera comme aujourd'hui: confiance aveugle et aucune garantie légale en cas de disfonctionnement.
> J'aimerais bien voir ça !
C'est pourtant simple, imaginons que tu veuilles lire un DVD avec un lecteur logiciel utilisant une license libre:
A: l'EUCD t'interdit de contourner un système de protection protégeant des données, il t'interdit même d'essayer de le faire...
B: les DVDs sont protégés par un système de protection cryptographique
A et B => C: tu n'as pas le droit de contourner le système de cryptage pour lire le DVD
D: aucun lecteur logiciel de DVD libre n'a été rendu public par les concepteurs/diffuseurs de DVD
D => E: tu dois - ou un autre développeur doit - faire lui même un lecteur de DVD libre
E => F: tu dois contourner le système de protection
F et C => G tu n'as pas le droit de lire un DVD avec un lecteur libre
La seule solution "légale" dans le cadre du DMCA / de l'EUCD est de lire ton DVD avec un lecteur propriétaire - comme le font d'ailleurs beaucoup d'utilisateurs, en particulier sous Windows.
Ceci dit c'est vrai qu'à priori les lois ne sont pas rétroactives donc pour le DVD on est normalement tranquilles, mais pour les nouveaux supports à venir - qui seront cryptés, faut pas se leurrer - ça va être la bonne grosse merde.
Et je suis d'accord avec toi, cette loi est d'une débilité profonde car elle entre en conflit de manière flagrante avec d'autres lois qui existent déjà.
Moi ce qui me fait sourire, c'est cet espèce de procès d'intention que nous font les majors: "si on autorise vraiment la copie personnelle et qu'on rend possible la duplication de l'information, les gens vont en abuser, et n'hésiterons pas à nous mettre sur la paille!". Ca en dit long sur la moralité de ces gens-là, à croire qu'eux n'hésiteraient pas à détourner les lois de leur but originel dans le but d'accroître leurs profits, et ce au détriment de l'intérêt général le plus évident. La malhonnêteté que l'industrie du disque/du cinéma nous prête n'est que le mirroir de leur absence totale de morale ou de scrupules.
> C'est sur, mais je doute fort qu'ils te demandent de re-coder la SDL ;)
En fait la question se pose vraiment de savoir où est la limite du "à partir de 0". Faudra que le règlement soit précis... En effet, on peut considérer que SDL vient en standard avec les distribs, et que c'est un composant système et pas un morceau du jeu. Mais est-ce que qq chose comme Crystal Space ( http://crystal.sourceforge.net/(...) ) peut être considéré comme une brique de base?
D'ailleurs, quand on programme un logiciel libre, on n'hésite pas - et c'est bien l'intérêt - à repomper du code dans tous les logiciels libres qui peuvent contenir du code utile (en respectant les licenses évidemment). Donc pour ce concours, si c'est vraiment du logiciel libre que l'on programme, on devrait avoir le droit de réutiliser plein plein de code, voir même le code d'un jeu déjà finalisé (*) et codé par quelqu'un d'autre 8-)
Faire du logiciel libre en partant de 0, c'est une activité qui commence à faire un peu vieillotte, ça allait bien en 1984 de partir de rien, mais maintenant il est quand même tentant de réutiliser ce qui est réutilisable.
(*) et d'ailleurs un logiciel libre finalisé ça n'a pas beaucoup de sens car le développement et les évolutions sont toujours possibles!
> S'il y a un mise à jour vers un nouvelle version major de PostgreSQL
Effectivement je comprends ton inquietude sur ce point. J'ai moi-meme pense: "nom de zeus quelle connerie t'es en train de faire!?!" le jour ou en faisant un dist-upgrade ma Debian m'a dit: "PostGreSQL va etre mis a jour de la 6.x vers la 7.x, donc il faudra migrer les donnees, voulez-vous le faire automatiquement (yes/no)?".
J'ai repondu oui et tout a ete migre tranquille, ca a juste pris un peu de temps. J'avoue que j'etais plutot soulage que les donnees ne soient pas critiques mais honnetement tout s'est passe sans accro. PostGreSQL 6.x vers 7.x pour les nuls: tu tapes "yes [enter]" et ca marche.
Le seul pb vraiment chiant que j'ai eu avec apt-get dist-upgrade etait pour passer de 2.0 a 2.1 je crois, j'avais eu un probleme car le package Perl etait casse, et du coup apt ne marchait plus... Il a fallu que je cree un lien symbolique /usr/lib/libperl.so.5.x vers le bon binaire qui va bien pour m'en sortir. Pas infaisable comme manip mais clairement au dessus de mes capacites il y a qq annees 8-/
> Il y a surement des boites vereuses qui profitent du fait que les indiens veulent venir aux USA pour les faire trimer comme des anes,
Des noms des noms on veut des noms!
MDR 8'-D
> Sans vouloir me faire l'avocat du diable, on a ce genre de probléme sous tous les environnement de bureau
Heu, ben oui je suis plutôt d'accord!
En fait l'idée de mon post n'était pas de critiquer le fonctionnement du [X] sur les fenêtres Windows, mais plutôt de dire que sous Windows ou sous X11, c'est pareil, ce qui fait que les applis se ferment toutes de la même manière, c'est que les développeurs sont à peu près tous d'accord pour coder le même genre de comportement suite à la réception d'un message WM_CLOSE sous Windows, ou bien WM_DELETE_WINDOW sous X11. C'est exactement pareil. En fait j'ai fait la remarque car en lisant les posts précédents on aurait pu croire que sous Windows la fermeture de l'appli suite à l'appui sur la croix était cablée "en dur". C'est d'ailleurs ce que je pensais avant de coder des applis Windows 8-)
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à -1.
1 - je ne gueule pas si fort que ça
2 - "on parle du pourquoi/comment MS USA a nomme cet acte", justement, je ne suis pas sur qu'on parle de la même chose. Moi je parle de toi qui dit que c'est un crime. Après tu peux choisir d'être porte parole de MS USA, c'est ton choix, mais jusqu'ici j'avais l'impression que les propos que tu tenaient sur ce site reflétaient ton opinion personnelle, et je pense que c'est encore le cas. Tu peux choisir de répéter la même chose que la maison mère de manière systématique, mais le fait qu'une boîte ait appelé ça crime aux US n'empêche pas que sur un site quand même relativement francophone (LinuxFR) on s'indigne de ce genre d'appellation.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 0.
> Faire un distributed DDoS, planter des dizaines de serveurs et saturer la bande passantes de dizaines d'ISPs est un acte criminel
> Tu veux qu'ils utilisent les termes de quel pays ? France ? Zimbabwe ? Australie ? C'est une boite americaine !
Faudrait savoir si tu parles en ton nom ou si tu es porte parole de MS USA. Je veux bien que MS USA appelle un crime n'importe quoi, de toutes façons en tant que citoyen français je n'ai pas de compte à leur rendre. Maintenant c'est toi qui dit que c'est un crime. Après tu peux considérer que tout ce que dit MS USA est parole divine et fait donc foi, c'est ton droit, mais ce n'est pas mon cas. Quand tu dis "c'est un acte criminel", c'est toi qui porte le jugement que je sache. Ou alors dis simplement "c'est un acte criminel d'après MS USA". Mais l'attitude que tu as est exactement celle que je déplore: une boîte aux US déclare "ceci est un crime" et ensuite, tout le monde considère que c'en est un. Je ne sais pas lequel de nous 2 est aux US, mais en tous cas ce n'est pas moi, donc que viens faire la loi américaine dans tout cela, je ne suis pas censé la respecter que je sache.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 1.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 5.
La restriction ne s'applique pas qu'aux logiciels téléchargeables, elle s'applique à l'ensemble des services proposés en ligne.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 2.
Surtout, ça les arrange bien de noircir le tableau. C'est bien simple la notion de délit est carrément rayé des dictionnaires pour les éditeurs de logiciel. Dès que tu fais quelque chose de mal -> crime!
En plus, tant qu'on ne connaît pas exactement l'auteur du DDoS, bien malin qui peut dire sous quelle juridiction il va tomber. C'est peut-être un coréen qui a commencé par hacker une machine en Allemagne pour rebondir en Australie puis enfin lancer son bidule depuis le Texas. Va savoir... Dans l'affaire, Microsoft n'est même pas si impliqué que ça, quelqu'un a exploité une faille de leur serveur, mais ça en reste à priori là. MS n'est pas vraiment la victime ni le coupable.
> aux USA c'est un crime
Quel beau pays 8-) Il n'empeche qu'il y a surement eu aussi des machines françaises, allemandes, chinoises, etc. touchée par le vers (qui apparemment frappe au hasard et sans discrimination). Et là il n'y a pas crime.
Il est regrettable que le fait que les US considère les intrusions comme des crimes déteigne sur les autres pays.
[^] # Re: TCPA/Palladium va attenter à la GPL
Posté par ufoot (site web personnel) . En réponse à la dépêche TCPA/Palladium va attenter à la GPL. Évalué à 1.
Franchement, si j'avais envie de créer un spyware, la 1ère chose que je ferais c'est de crypter la communication. Comment avec TCPA/Palladium puis-je être sûr que quand je lance Windows Update Microsoft ne collecte pas d'informations relatives à mon PC? Je suis *obligé* de faire confiance, je n'ai pas le moyen de le vérifier.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 2.
Alors montre-moi où précisément il est écrit que ces utilitaires sont disponibles pour tout le monde et tous les usages. Moi j'ai pas vu.
Il n'y a pas de "tu sais très bien" qui tienne. Je m'en tiens à ce qui est écrit dans les licences, le reste c'est du pipo.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 8.
D'abord, je ne parle pas spécialement de France. L'utilisation du terme "crime" pour désigner tout délit informatique fait partie d'une dérive générale, la même qui fait appeler "pirate" la personne qui ose lire un DVD avec un logiciel libre. L'utilisation des champs lexicaux du crime / de la piraterie pour désigner tout acte informatique contraire aux lois est AMHA très malsaine, et est responsable de pas mal de non sens et de quiproquos.
Ensuite, il n'existe aujourd'hui aucune instance juridique internationale digne de ce nom. Seules quelques tribunaux existent, et sont réservés en général au jugement d'hommes politiques pour des crimes de guerre ou autres pratiques sans comparaison avec le lancement d'un DDOS. Que je sache, la plupart des jugements sont aujourd'hui prononcés dans un pays donné. C'est d'ailleurs ce qui justifie les procédures d'extradition et autres. En plus, la loi est différente dans chaque pays. C'est donc tout naturellement que je me réfère à la loi française, vu que je suis français et que j'habite en France. Les quelques "lois" internationales qui existent consistent en général en des accords signés entre pays, chaque pays s'accordant pour intégrer la "loi" en question dans sa propre législation. Donc en respectant la loi française, je respecte de facto un bon nombre de lois communes à d'autres pays, par exemple je n'ai pas le droit de dupliquer des CD d'installation de Windows et les filer à mes potes.
Dans tous les cas, je ne vois pas en quoi le terme délit est un terme franco-français. Je ne connais pas dans le détail les législations des autres pays, mais pour moi il y a 2 cas possibles:
- Soit le pays a la distinction entre crime et délit. Et dans ce cas je serais surpris qu'un DDOS soit considéré comme un crime. Pour moi le DDOS, c'est du même tonneau qu'une grêve de routiers qui bloque les autoroutes. Ca fait chier, ça bloque les axes de communication, mais c'est quand même pas la fin du monde.
- Soit le pays n'a pas la distinction entre crime et délit, auquel cas effectivement on peut parler par défaut de crime. Il se trouve que notre législation et notre langue mettent à notre disposition un moyen de faire la nuance, rien ne nous empêche d'en profiter.
Enfin, en utilisant le terme crime en français, tu évoque - peut-être involontairement - quelque chose de particulier, généralement considéré comme plus grave qu'un délit, et qui peut très concrêtement t'envoyer aux assises. Si tu veux être factuel et ne pas entrainer de confusion, ne dis pas:
"saturer la bande passantes de dizaines d'ISPs est un acte criminel"
mais dis plutôt quelque chose du genre:
"saturer la bande passantes de dizaines d'ISPs est un acte illégal"
C'est moins tendancieux.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 2.
Sauf que cette "mise à disponibilité" est sujette à tout un tas de restrictions:
http://www.microsoft.com/info/cpyright.htm(...)
entres autres:
"Unless otherwise specified, the Services are for your personal and non-commercial use"
Bref, le problème avec les mise à jour MS, c'est qu'à chaque fois tu dois accepter une nouvelle licence, et j'ai autre chose à foutre que de lire 200 lignes chaque fois que je fais une MAJ de sécurité. Et *non* je ne suis pas prêt à accepter certaines clauses des CLUF Microsoft que je trouve abusives. Et *oui* je considère qu'il est important de lire la licence avant d'installer un soft.
[^] # Re: Mort de rire... MS communique sur l'attaque du ver
Posté par ufoot (site web personnel) . En réponse à la dépêche Un ver déstabilise Internet. Évalué à 10.
Ce n'est pas un crime c'est un délit. Nuance. Je ne vois pas pourquoi faire un DDoS emmènerait l'auteur devant la cour d'assises. C'est peut-être illégal, mais faudrait un peu arrêter de balancer les termes crime/criminel dès que quelqu'un enfreint la loi et que ça touche à l'informatique...
[^] # Re: TCPA/Palladium va attenter à la GPL
Posté par ufoot (site web personnel) . En réponse à la dépêche TCPA/Palladium va attenter à la GPL. Évalué à 5.
Microsoft a la possibilité de t'empêcher de lancer tout programme qu'il n'a pas envie de certifier. C'est certes un procès d'intention mais il faut quand même considérer que c'est une pratique déjà en cours dans le cas des téléphones Orange. Comme tu ne peux pas lancer les programmes que tu veux, tu ne peux pas toujours lancer des programmes ad hoc d'analyse de la mémoire / du traffic réseau / du contenu de ton disque... Donc en fait tu es obligé de faire "confiance" à Microsoft, avec TCPA/Palladium, tu n'as plus les moyens de vérifier l'intégrité de ta machine. Tu dois faire confiance à un tiers. C'est d'ailleurs *le* principe du système. On parle en effet de "trusted computing". Le "trusted" veut dire: "moi, utilisateur, je fais confiance à l'éditeur de logiciel".
Hors le contenu des licences Microsoft ne m'encourage pas à leur faire confiance, vu que grosso-modo ils ne s'engagent sur rien, mais se contentent de restreindre tes droits.
# C'est pas bien de s'attaquer aux petits
Posté par ufoot (site web personnel) . En réponse à la dépêche Les autorités auront un accès direct à nos données de connexion. Évalué à 10.
[^] # Re: taxons EDF...
Posté par ufoot (site web personnel) . En réponse à la dépêche L'industrie musicale demande des comptes aux FAI. Évalué à 1.
http://www.nouvelobs.com/articles/p1993/a87697.html(...)
Maintenant je sais à quoi sert la taxe sur les CDR! Ceci dit par contre j'espère que l'info est fausse mais j'ai bien peur qu'elle soit vraie...
[^] # Re: TCPA/Palladium dans le Monde
Posté par ufoot (site web personnel) . En réponse à la dépêche TCPA/Palladium dans le Monde. Évalué à 3.
[^] # Re: Outrageant !
Posté par ufoot (site web personnel) . En réponse à la dépêche Microsoft ouvre le code source de Windows. Évalué à 3.
L'idée n'est pas de corriger les bugs que MS n'est pas capable de trouver. MS est certainement bien capable de trouver des bugs. L'idée est surtout de trouver et de corriger les bugs dont MS n'a rien à faire parce que leur correction coûterait trop cher par rapport aux bénéfices que le bug-fix représente en terme de ventes. Par exemple, le fait que la fonction search/replace de notepad ait été limitée à 32 caractères jusqu'à (minimum) Win98 et NT4 (je vais de ce pas vérifier pour W2K) témoigne du fait que certaines limitations ne sont simplement "pas importantes" pour MS. Il y a plein d'autres limitations des produits MS qui peuvent être des blocages pour certains utilisateurs, mais dont MS décide que "ça ne vaut pas le coup de corriger".
reste encore a voir la proportion de bugs trouves en lisant du code compare aux bugs trouves par test
reste encore à voir la proportion de bugs corrigés en exécutant du code compilé avec les options de debug, en le lançant depuis un débuggeur, en disposant du code source à côté et en pouvant tracer pas à pas tout ce qui se passe, par rapport aux bugs trouvés en exécutant un binaire strippé façon "boîte noire" avec de toutes façons quasimment aucun espoir de pouvoir changer quoi que ce soit.
Trouver les bugs c'est bien, les corriger c'est mieux.
[^] # Re: Re:
Posté par ufoot (site web personnel) . En réponse à la dépêche MandrakeSoft se déclare en cessation des paiements. Évalué à 6.
trouvé sur http://ikarios.com/objectifs.html(...)
[^] # Re: L'industrie informatique en 2003
Posté par ufoot (site web personnel) . En réponse à la dépêche L'industrie informatique en 2003. Évalué à 2.
Eh mais chuuuuuuuut fallait pas le dire, maintenant tout le monde va être au courant 8-)
[^] # Re: Premier BIOS TCPA/Palladium
Posté par ufoot (site web personnel) . En réponse à la dépêche Premier BIOS TCPA/Palladium. Évalué à 5.
???
Pas compris... En quoi TCPA garantit-il qu'il n'y a pas de buffer overflow? C'est le revendeur du programme qui l'affirme mais il est logé à la même enseigne que le revendeur Debian: il a produit un code et il doit vérifier que celui-ci ne comporte pas de bug ou de faille de sécurité. A ma connaissance, il n'existe pas aujourd'hui d'outils magique qui détecte automatiquement tous les buffers overflows et toutes les failles de sécurité. Les outils tels que purify sont encore bien imparfaits, et ne permettent que l'accélération de la recherche de bug, mais en aucun ils ne permettent une éradication systématique des fautes de programmation. Donc signature TCPA ou sceau MD5 c'est pareil: ça te dit que le programme que tu as est le même que celui que le programmeur voulait distribuer, et que tous les bugs que le programmeur a réussi à trouver ont été corrigés.
La signature TCPA n'apporte pas plus que la signature MD5 d'un paquet Debian du point de vue de l'utilisateur. Par contre vis-à-vis du revendeur du programme la différence est notoire car dans le 1er cas les éditeurs peuvent décider que si tu utilise un programme sans avoir la bonne signature alors le programme fonctionne en mode dégradé, voire pas du tout.
A part ça la signature des paquets n'est absolument pas une garantie de sécurité du système. On peut aujourd'hui installer un système Linux avec de bons paquets bien signés et avoir au final un OS bourré de trous de sécurité. La sécurité c'est certes des binaires conformes mais c'est aussi la configuration qui va avec...
En plus, TCPA passe élégamment sous silence tous les langages de script. Il est trivial d'écrire un virus en VBScript, et pourtant l'interpréteur VBScript sera vraisemblablement signé correctement d'un point de vue TCPA vu qu'il est produit et édité par Microsoft. Que se passe-t-il alors? L'interpréteur vérifie toujours la signature d'un script avant de l'éxécuter? Comment les éditeurs de pages webs font-ils pour certifier toutes leurs pages? Qui se porte garant de la sécurité des scripts embarqués dans les courriers électroniques - et qui font quand même pas mal de dégâts aujourd'hui?
TCPA n'apporte en réalité aucune forme de sécurité valable pour l'utilisateur, tout au plus elle renforce le contrôle des éditeurs de logiciel sur l'utilisation de leur produit par les consommateurs, et accessoirement elle discrédite tous les programmes libres en les qualifiant arbitrairement de "non sécurisés".
Dernier point, il suffit de lire une licence Microsoft aujourd'hui pour voir que les éditeurs de logiciel ne se mouillent pas beaucoup question sécurité. Je ne serais pas étonné que les 1ers logiciels TCPA qui arriveront viennent avec des licenses similaires, où l'éditeur du soft se dégage de toute responsabilité. Donc concrêtement, point de vue sécurité vis-à-vis de l'éditeur ça sera comme aujourd'hui: confiance aveugle et aucune garantie légale en cas de disfonctionnement.
[^] # Re: Lexmark et le DMCA
Posté par ufoot (site web personnel) . En réponse à la dépêche Lexmark et le DMCA. Évalué à 6.
Et on sera débarassés de ces nuisibles 8-)
[^] # Re: Voici comment je résume ce projet de loi et ce qui me choque
Posté par ufoot (site web personnel) . En réponse à la dépêche Lettre ouverte sur la copie privée. Évalué à 1.
[^] # Re: Jon Johansen acquitté dans le cas DeCSS
Posté par ufoot (site web personnel) . En réponse à la dépêche Jon Johansen acquitté dans le cas DeCSS. Évalué à 10.
C'est pourtant simple, imaginons que tu veuilles lire un DVD avec un lecteur logiciel utilisant une license libre:
La seule solution "légale" dans le cadre du DMCA / de l'EUCD est de lire ton DVD avec un lecteur propriétaire - comme le font d'ailleurs beaucoup d'utilisateurs, en particulier sous Windows.
Ceci dit c'est vrai qu'à priori les lois ne sont pas rétroactives donc pour le DVD on est normalement tranquilles, mais pour les nouveaux supports à venir - qui seront cryptés, faut pas se leurrer - ça va être la bonne grosse merde.
Et je suis d'accord avec toi, cette loi est d'une débilité profonde car elle entre en conflit de manière flagrante avec d'autres lois qui existent déjà.
Moi ce qui me fait sourire, c'est cet espèce de procès d'intention que nous font les majors: "si on autorise vraiment la copie personnelle et qu'on rend possible la duplication de l'information, les gens vont en abuser, et n'hésiterons pas à nous mettre sur la paille!". Ca en dit long sur la moralité de ces gens-là, à croire qu'eux n'hésiteraient pas à détourner les lois de leur but originel dans le but d'accroître leurs profits, et ce au détriment de l'intérêt général le plus évident. La malhonnêteté que l'industrie du disque/du cinéma nous prête n'est que le mirroir de leur absence totale de morale ou de scrupules.
[^] # Re: Concours de programmation de jeu libre pour la fête de l'Internet
Posté par ufoot (site web personnel) . En réponse à la dépêche Concours de programmation de jeu libre pour la fête de l'Internet. Évalué à 10.
En fait la question se pose vraiment de savoir où est la limite du "à partir de 0". Faudra que le règlement soit précis... En effet, on peut considérer que SDL vient en standard avec les distribs, et que c'est un composant système et pas un morceau du jeu. Mais est-ce que qq chose comme Crystal Space ( http://crystal.sourceforge.net/(...) ) peut être considéré comme une brique de base?
D'ailleurs, quand on programme un logiciel libre, on n'hésite pas - et c'est bien l'intérêt - à repomper du code dans tous les logiciels libres qui peuvent contenir du code utile (en respectant les licenses évidemment). Donc pour ce concours, si c'est vraiment du logiciel libre que l'on programme, on devrait avoir le droit de réutiliser plein plein de code, voir même le code d'un jeu déjà finalisé (*) et codé par quelqu'un d'autre 8-)
Faire du logiciel libre en partant de 0, c'est une activité qui commence à faire un peu vieillotte, ça allait bien en 1984 de partir de rien, mais maintenant il est quand même tentant de réutiliser ce qui est réutilisable.
(*) et d'ailleurs un logiciel libre finalisé ça n'a pas beaucoup de sens car le développement et les évolutions sont toujours possibles!
[^] # Re: mouais
Posté par ufoot (site web personnel) . En réponse à la dépêche RedHat change de politique de support.. Évalué à 6.
Effectivement je comprends ton inquietude sur ce point. J'ai moi-meme pense: "nom de zeus quelle connerie t'es en train de faire!?!" le jour ou en faisant un dist-upgrade ma Debian m'a dit: "PostGreSQL va etre mis a jour de la 6.x vers la 7.x, donc il faudra migrer les donnees, voulez-vous le faire automatiquement (yes/no)?".
J'ai repondu oui et tout a ete migre tranquille, ca a juste pris un peu de temps. J'avoue que j'etais plutot soulage que les donnees ne soient pas critiques mais honnetement tout s'est passe sans accro. PostGreSQL 6.x vers 7.x pour les nuls: tu tapes "yes [enter]" et ca marche.
Le seul pb vraiment chiant que j'ai eu avec apt-get dist-upgrade etait pour passer de 2.0 a 2.1 je crois, j'avais eu un probleme car le package Perl etait casse, et du coup apt ne marchait plus... Il a fallu que je cree un lien symbolique /usr/lib/libperl.so.5.x vers le bon binaire qui va bien pour m'en sortir. Pas infaisable comme manip mais clairement au dessus de mes capacites il y a qq annees 8-/
[^] # Re: Le gouvernement indien investit dans Linux
Posté par ufoot (site web personnel) . En réponse à la dépêche Le gouvernement indien investit dans Linux. Évalué à 1.
[^] # Re: slicKer
Posté par ufoot (site web personnel) . En réponse à la dépêche slicKer. Évalué à 1.
Heu, ben oui je suis plutôt d'accord!
En fait l'idée de mon post n'était pas de critiquer le fonctionnement du [X] sur les fenêtres Windows, mais plutôt de dire que sous Windows ou sous X11, c'est pareil, ce qui fait que les applis se ferment toutes de la même manière, c'est que les développeurs sont à peu près tous d'accord pour coder le même genre de comportement suite à la réception d'un message WM_CLOSE sous Windows, ou bien WM_DELETE_WINDOW sous X11. C'est exactement pareil. En fait j'ai fait la remarque car en lisant les posts précédents on aurait pu croire que sous Windows la fermeture de l'appli suite à l'appui sur la croix était cablée "en dur". C'est d'ailleurs ce que je pensais avant de coder des applis Windows 8-)