Wharf a écrit 101 commentaires

Pour résumer,
tu cherches à faire tourner en multi-poste une application prévue intialement en mono-poste, afin de ne pas payer une licence multi-users simultanés
C'est exactement comme la PME qui achète une seule licence MS office et qui l'utilise en multiposte via Windows Terminal Server

1/ A mon avis, c'est totalement contraire au mode de licence de ce produit de compta, mais s'il sont prets à pirater c'est leur pb ....
Ca m'étonnerait qu'un cabinet expert comptable s'amuse à pirater. En général ils sont discipline-discipline

2/ Je ne vois le rapport avec Windows, car tu pourrais atteindre le même objectif primaire avec plusieurs solutions, (même en windows - en Windows Terminal Server ) sous réserve que l'appli gère proprement l'ouverture et la réservation de fichier en écriture

A propos,
1/ On est tous d'accord: Les Web Services ont probablement un avenir brillant dans nos futures architectures informatiques,
Coup de chance: la normalisation a été hyper rapide, et mêmes ceux qui y sont allés à reculons (ex: Oracle et SUN) en font aujourd'hui un argument d'ouverture pour rattraper ceux qui ont poussé très fort en faveur de la normalisation: IBM , BEA et Microsoft.

2/ Zope semble etre correctement ouvert à ces technos Web Sces.
mais quid d'Open Office ?
Puis je consommer le Web Sce d'un serveur Zope depuis Open Office ?

@+

1/ La DTD c'est la préhistoire de l'XML
si tu veux de l'interop hétérogène, il te faut un shéma XML (format xsd)
plus d'infos sur
http://msdn.microsoft.com/library/default.asp?url=/downloads/list/o(...)
et sur
http://msdn.microsoft.com/library/default.asp?url=/downloads/list/o(...)



2/ OK, les secretaires, analystes et commerciaux du monde vont pas faire leur propres DTD (meme sous office Pro) ....
idem pour les particuliers.

mais il ne faut pas confondre les users dont ce n'est pas le role de développer un shéma XML, mais d'utiliser le XSD que les concepteurs leur ont mis à disposition pour l'interop entre le système d'information central et et les postes bureautique

Si je suis un DSI, je crée un flux XML avec mon shéma XML pour que mes commerciaux depuis leur bureautique standard, accédent directement à l'outil de gestion de commande et vice versa).
Pour que ca fonctionne avec le XSD maison, il leur faut une version pro.

Dans la version 2003 pro:
Dans la version Office 2003 pro, j'ai vu la possibilité d'archiver un fichier XML, avec mon propre shéma XML
Dans la version2003 pro, ce shéma XML est ouvert, transparent et évolutif. Où as tu vu que ce XML est propriétaire ?


Dans la version 2003 Standard:
Il n'est pas possible d'éditer ou de modifier le shéma XML, A mon avis, l'idée du XML propriétaire vient donc de la version Standard

J'admet que l'attente d'un particulier, d'un universitaire .. n'a rien à voir avec celle d'une multinationale qui lutte contre la perte d'information, et l'espionnage économique (ex: Airbus, Dassault, Mérieux, )
Tous les très grandes entreprises à qui j'ai posé la question demandent du DRM pour des besoins réels
ex: interdire l'envoi d'un communiqué de presse avant telle heure
interdire qu'un employé fasse copier/coller d'un mail interne vers une messagerie externe http
restreindre la circuliation de certians doculmenst au sein du comité de direction
le sce du personnel s'assure que le destinataire d'un message ne sera pas transféré à qqu'un d'autre
.....
Je suis surpris du décallage entre le besoin "métier" qui est parfois très fort, et certains messages de ce site: on n'est pas sur la même planète, dans certains environnements, il faut du DRM, mais admettons que ca reste minoritaire.
Le problème n'est-il pas que la norme Xrml n'est pas suffisamment répandue pour ne pas permettre une interopérabilité en environement hétérogène: A quand le support de Xrml par Open Office ?

Quelle est ta proposition pour la garantie ?

On sait bien que la qualité de fonctionnement est intimement lièe à la qualité des drivers (et vice-versa)
Un constructeur ne peut donc assurer une garantie sur une machine que s'il maitrise et supporte les drivers,

A défaut, les 2 parties s'exposent à un débat sans fin:
L'acheteur dira c'est le hard, le vendeur dira c'est votre driver ..... et ainsi de suite

Pour t'en sortir, je ne vois qu'un seule solution: accepter que la garantie soit limitée au minimum légal
Encore un moyen de négocier une remise, mais tu prend le risque , car une panne ca coute cher !!!

C'est une retombée du procés anti-trust:

1/ Tous les principaux OEM mondiaux ont le même contrat (et ni MS ni l'OEM n'a le droit d'en négocier une modif).
2/ C'est une licence mondiale donc applicable aussi en France
3/ MS n'a plus le droit d'obliger un OEM à acheter des licences pour 100% de sa production. C'est fini depuis quelques années.
Les OEM ne sont facturès que sur les licences OEM utilisées (matérialisées par une etiquette avec hologramme collée sur le boitier)

Le vrai pb, est qu'un grand constructeur cherche à tout prix à produire des machines les plus identiques possible pour produire en continu C'est un pb de gestion de production.
Donc produire un pouillème de la production sans OS coute tellement cher , qu'il vaut mieux désinstaller ultérieurement sur les quelques unitès concernèes pour les particuliers.
Autre pb: pour assumer la garantie, il faut supporter une machine sous un OS d'une version précise (ce qui explique que tu peux avoir encore des machines sous W95/98 chez des assembleurs, mais plus chez des grands constructeurs qui ne veulent pas assumer de couts de maintenance pour quelques % des ventes).
C'est idem, si tu vend une machine sans OS, donc sans drivers, les services juridiques de ces grands constructeurs doivent s'interroger sur la manière d'assumer la garantie.

Tu as raison que ce type de comparaison peut etre source de polèmique indéfinies, mais les différences sont telles que personne ne peut nier que OpenBSD est le moins mauvais de la liste, que Microsoft n'est pas si mauvais, et que Mandrake ou Debian en cumulent beaucoup (trop): ont ils la structure pour assumer une telle taille de package ??.
Pas de gloriole, même les meilleurs de cette liste en ont trop !!!!


Pour plus de clarté je sépare différentes questions:

1/ Y a t il autant de bulletins que ca ?
va vérifier sur :
Debian : http://www.debian.org/security/(...)
Red Hat : http://www.redhat.com/apps/support/errata/(...)
Mandrake : http://www.mandrakesecure.net/en/advisories/(...)
SuSE : http://www.suse.com/de/security/announcements/index.html(...)

2/ Ces bulletins sont ils tous liès à la sécurité ?
Non, il y a aussi les vulnérabilitès critiques pour la stabilitè:

Donc pour détailler, voici un exemple pour 2 OS sortis à peu près à la même date: Windows 2003 Server ( sortie officielle le 24 avril) et Redhat 9 (sortie officielle le 30 mars) Dans les 2 cas, il y a parfois plus d'un correctif par bulletin.:
- Redhat9: pour la seule sécurité: https://rhn.redhat.com/errata/rh9-errata-security.html(...)
50 bulletins pour Redhat 9 ; si l’on supprime les vulnérabilités liées à Pine et Sendmail, celle liée à Evolution et celle liée à MySQL, ca fait 44 vulnérabilités.
- Windows 2003 Server: il y a 19 corrections disponibles sous Windows Update. Je n'ai pas le détail, c'est un total "toutes corrections confondues": sécurité et toute autre correction critique.

3/ Peux t on comparer exactement tous ces chiffres ?
Non, car selon les éditeurs, ces bulletins ne recouvrent pas la même chose, de plus les OS ne comprennent pas les mêmes fonctionalitès, et en plus certains packages proposent des composants redondants entre eux:

4/ Tu as raison: le vrai pb est le délai de disponibilité du correctif
Patcher n'est pas la panacée, mais en attendant .... tout administrateur sérieux doit tout de même s'y atteler.
A mon avis, le pb est que si les corectifs de ces composants unitaires sont dispos dans des délais satisfaisants, le temps que les grandes distrib intégrent et valident officiellement ces correctifs dans leurs versions supportées est trop long.
Et le pb, c'est cette version "entreprise" payante et supportée qu'on utilise pour des applis critiques.
J'ai déjà vu des études de délai de disponibilitè des correctifs: il faut que je les retrouve....
le résultat était .. décevant !!

Voici un bilan des vulnérabilitès publièes depuis le 1er janvier 2003: pas franchement glorieux pour la profession !!!

total des bulletins - toutes versions confondues par éditeur d'OS (sauf détail pour Sun Solaris/Linux) - Félicitations à OpenBSD !! le moins mauvais de la classe
OpenBSD 14
SunLinux 21
Trustix 22
EnGarde 27
Microsoft Windows 30
SuSE 39
Sun Solaris 47
Mandrake 95
RedHat 97
Debian 166


répartition des bulletins Microsoft par version d'OS (Les 30 bulletins ci-dessus concernent en général plusieurs versions)
Windows 2000 24
Windows XP 23
Windows Server 2003 9


Bulletins des 7 derniers jours (se terminant le 19 sept)
Trustix 2
Sun 2
SuSE 2
OpenBSD 2
EnGarde 3
Mandrake 4
RedHat 4
Debian 7

Pour moi, à chaque fois que le CERT annonce une vulnérabilité, c'est à prendre au sérieux !!

Par contre en France, le CERTA ne publie que celle de OPENSSH et pas cette nouvelle faille de Sendmail.
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-152/index.html.2.h(...)
La précédente faille de SendMail publièe par le CERTA datait du 3septembre:
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-141/index.html.2.h(...)

CERT issued an advisory on Tuesday for the OpenSSH vulnerability and another on Thursday for the Sendmail flaw.

http://www.cert.org/advisories/CA-2003-24.html(...)
The OpenSSH issue affects versions before 3.7.1 and occurs as a problem in the way the software stores chunks of data using storage areas called buffers. Cisco said it has products that are affected, while Red Hat, Sun Microsystems and IBM's AIX Toolbox for Linux all use versions of OpenSSH that could be vulnerable.

http://www.cert.org/advisories/CA-2003-25.html(...)
The Sendmail flaw affects versions before 8.12.10. HP, IBM and Red Hat are among the software makers that use Sendmail and whose products could be affected.


A propos, avez vous aussi vu la vulnérabilité mySQL du 16 septembre ?
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-151/index.html.2.h(...)

Attention: ne compare pas à la version Rolls Royce !!!
Prenons le cas d'une PME qui 25 postes clients:

1/ Solution Windows: le package Small Business Server (qui comprend Windows server, Exchange server, Outlook pour les clients, SQL server, ISA Server, Fax server, ..)
La PME commandera ses licences au tarif OpenA.
La licence du package complet coute 1600 Euros HT (inclus licence pour 5 postes clients)
Pour les postes supplémentaires, 270 Euros HT pour 5 Postes

Si tu veux la totale: ajoutes Office PME sur les clients, ajoutes 500 Euros HT par poste (mais pas besoin pour Exchange car la licence Outlook fait déjà partie de SBS)

Bilan: Pour les seules licences SBS (client et serveur): environ 3000 Euros HT
Pour SBS + Office: environ 28 000 Euros HT
J'ajoute 7000 Euros pour les CD's, les Docs, et 2 semaines de prestations)

2/ Comparons avec une solution LL
Un informaticien payé (pas cher) 1700 Euros Net par mois, coute environ 3000 Euros par moi à la PME, et environ 4000 si tu ajoutes les couts annexes d'un employé (Gestion du personnel, Bureau, formation ...)

Je ne tiens pas compte du hard et de logiciels complémentaires (ex: anti-virus), considérant que c'est comparable dans les 2 cas.

Bilan: si la PME a pris la totale ( 35000 Euros HT) le point d'équilibre pour cette PME: 8 à 9 mois
si la PME n'a pris que SBS ( 10000 Euros HT) le point d'équilibre pour cette PME: 2 à 3 mois

C'est pas gagné !!!

Et surtout ICQ est le pire des outils pour se choper une backdoor.

Je travaille dans l'informatique

Dans toutes les "grosses" boites ou je suis allé, j'ai eu des patrons qui faisaient aussi des discours expliquant qu'il ne fallait perdre à aucun prix ...
.... on dit toujours "ne pas perdre à aucun prix".
C'est aussi un moyen de culpabiliser le commercial pour s'assurer qu'il a bien exploité toutes les possibilitès, et bloquer son objection habituelle: j'ai perdu pour un pb de prix.

C'est un discours de motivation de manager,
c'est vieux comme le monde, .. et ca ne motive plus grand monde, car ca ne résiste pas au 1er exemple concret:
quand le commercial ramène son projet, il se rend compte que les effets de manche ne se concrétisent pas et que projet par projet, on te demande des marges et une cohérence entre les prix pratiqués dans toutes les affaires (sinon, ca se sait, et les infos sur les remises consenties se répandent comme une trainée de poudre)

Dans toutes les boites, on budgète des remises concurentielles (même chez notre BULL franco-français)
Donc si quelqu'un est choqué par cette expression, c'est qu'il ne connait pas les moeurs du business. Je ne juge pas, je constate....

On mélange 2 sujets:
1/ La gestion de droits numérique. C'est un certificat associé à une donnée pour la protéger (ex: interdiction de l'imprimer, de la transférer, pas de copier/coller, pas de print screen, droit de transférer à partir d'une certaine date, droit restreint à un groupe de users, ..). Pour utiliser ces fonctions, il faut au minimum un serveur de certificat Windows 2003 (avec ta propre PKI si tu le souhaites) et aussi une licence d'accès client (CAL) Windows Right Management sur chaque poste qui va utiliser cette nouvelle fonctionnalité. La CAL WRM coute dans les 35/40 Euros par poste.

Donc avec Office 2003 pro, mais sans la CAL et sans le serveur Windows 2003 -->pas de gestion des droits numériques
Par contre, il est possible à un poste sans Office 2003 d'accéder à cette donnée à l'aide d'une visionneuse gratuite pour son navigateur.

2/ Le fichier/shéma XML.

Tu as raison, IL n'y aura une réelle ouverture que si le shéma XML est accessible.
Le shéma XML n'est accessible en clair et transparent que sur la version Office 2003Pro.
La version Office 2003 standard peut recevoir un fichier XML, mais uniquement s'il est conforme au shéma Office fourni par défaut --> Pas vraiment intéropérable.

Dans Office 2003, tu peux sauvegarder soit au format XML (mais seulement la version Pro te permet d'accèder au shéma XML, ou d'utiliser ton propre shéma XML), ou comme avant en format propriétaire .Doc (dans toutes les versions).

Le format .Doc est le même que celui de Office XP (Word 2002)ou Office 2000 (Word 2000).
Il reste un pb de compatibilité avec le format .DOC de Office 97 (Word 97)

Pour résumer, pour etre interopérable en environnement hétérogène: il faut la version 2003 pro.

Par ailleurs, la version Office 2003pro contient aussi l'outil de formulaire Infopath (création de Formulaires XML avec le shéma XML en clair).

Tu écris: " et que du coup il faut des machines plus puissantes parce que la nouvelle version est plus gourmande,"

Vrai pour migration depuis WNT4, Faux pour migration depuis Windows 2000

On a été surpris de constater que Windows 2003 consomme moins de CPU et moins de mémoire que Windows 2000. (la même appli tourne environ 10% plus vite)
A notre avis, c'est parceque Windows 2003 installe moins de services par défaut, et que le code a été revu et optimisé.

Mauvaise nouvelle pour les constructeurs.....

Un des arguments politiques en faveur du libre était que le libre alait permettre de revréer une industrie du logiciel en Europe, et de reprendre pied sur un terrain dont la 1ère bataille avait été gagnée par l'amérique. (une bataille ... pas la guerre..)

Cette délocalisation vers les pays à bas couts ne remet elle pas en cause cet argument ?

On sait tous que les plus grandes SSII sous-traitaient hier dans les pays de l'Est, et aujourd'hui en Inde.

Un ingénieur informaticien compétent coute 5 fois moins cher en Inde qu'en France,

Aujourd'hui ca coute moins cher de ré-écrire complétement une appli en Inde sur des technos modernes, que faire un simple portage de plateforme en France.

Je ne suis pas franchement optimiste....
Alors les pbs de convention collectives....

Pas d'accord avec toi:

J'ai testé Office 2003:
1/ Si tu enregistres Word, Excel ou Access 2003 au format XML, tu disposes à la fois du fichier XML et du shéma XML de ton document.
2/ Un shéma XML est fourni par défaut, mais tu peux spécifier ton propre shéma XML (dans la version Pro...) , donc je ne vois pas ou est ton inquiétude de voir apparaitre de nouvelles balises.
Il suffirait que OpenOffice publie un shéma XML pour Office 2003, et le tour sera joué.
Dans ces conditions, l'implémentation XML dans Office 2003 n'est pas une coquille vide, mais permet une vraie interop en environnement hétérogène.


Par contre tu as raison pour les versions antérieures (Office 2000/XP), le shéma XML n'était pas fourni, ce qui en limitait fortement l'interet.

Pour info:
1/ MSFT a embauché Jean Paoli (co-inventeur de XML quand il était à l'INRIA) qui confie qu'il utilise MSFT comme cheval de Troie pour imposer XML au monde ....
Jean Paoli a pour job d'évangéliser les équipes de devpt de Redmond, de s'assurer qu'ils ne divergent pas du standard XML,
2/ MSFT et IBM sont les 2 éditeurs les plus actifs au sein du comité de normalisation XML, et ils se tirent la bourre pour sortir le premier des produit compatible avec chaque nouvelle avancée de la norme (ex: regardes à quelle vitesse ils ont implémenté WS-I).

A quand le nirvana de l'interopérabilité ..... en XML ?

A mon avis, info à prendre avec des pincettes pour les raisons suivantes:

1/ Ca s'est passé en plein plan social chez HP/Compaq (environ 1400 départs), avec un tas de gens démotivès.
A mon avis, un lampiste a du rédiger le courrier, et son chef a du se faire taper sur les doigts (A moins qu'il n'était dans le plan social, ou qu'il voulait s'y faire mettre ??).
Si le rédacteur du courrier HP s'y connaisait un tout petit peu , il aurait au moins su que Norton n'est pas un logiciel de MSFT

2/Les constructeurs achètent les softs OEM par milliers. C'est une histoire qui passe par perte et profit chez HP, mais qui n'est sans doute pas remontée aux éditeurs concernès.
Les frais administratifs de gestion d'un remboursement unitaire coutent beaucoup plus cher que le montant du remboursement. Ca coute moins cher à HP de clore le dossier.

3/ A la place du demandeur, j'en aurai profité pour obtenir un rembousement total et acquèrir un nouveau Matos plus récent.
Aujourd'hui celui qui veut un matos sans softs, peut trouver facilement un super rapport qualitè/prix chez 100% des assembleurs, et ca sera toujours moins cher que dans n'importe quelle grande surface ou l'on ne trouve que des configs grand- public moins interessantes.
C'est de l'héroïsme inutile son histoire de galère....
Je pense vraiment qu'il s'est fait chier pour faire fier le monde, je n'aimerai pas avoir un différent avec lui ....

C'est vrai que pour ne pas comparer des choux et des carottes,

il faudrait comparer l'architecture globale:

Windows / IIS / IE / Active Directory
avec
Linux / Apache / Mozilla / Open LDAP

même si dans un cas ce sont des briques indépendantes, et pas dans l'autre.

Depuis le début, je cherchais des faits, car les affirmations péremptoires des uns et des autres ca me fait penser aux joutes oratoires stériles de nos politiciens.

L'ennui, c'est que le 1er doc concret trouvé: - la note de Deutsche Bank Securities Inc. datée du 7 aout 2003 - me fait douter. En plus son style écrit avec beaucoup d'humilité: que des faits, aucune opinion des redacteurs qui prennent la peine de préciser qu'ils n'ont aucun interessement financier dans cette étude.
http://equities.research.db.com.(...)

En voici quelques extraits qui m'ont paru bien troublants:

.../...
Clearly we are not passing legal judgment on these contracts, but below are
several observations.

The September 1995 agreement between SCO and Novell is titled
"Asset Purchase Agreement". It clearly appears as an asset purchase
not a licensing transaction.

The 1995 Asset Purchase Agreement was amended in 1996 to address
what looked like a potential conflict in Schedule 1.1b of the original
asset purchase. The original document potentially did not include the
copyright ownership by SCO, but Amendment X seems to further clarify
this. According to management, this amendment coincided with but
preceded a significant IBM license arrangement.

According to SCO management, Sun is the only company with a
license to distribute source code and derivative work. IBM (and its
Sequent contract) have rights, according to management for binary
distribution of the product.

According to SCO management, Sequent's license with AT&T is more
restrictive than IBMs. Sequent does not have the right to distribute
source code, methods and concepts while IBM is not restrained on the
concepts front. At issue is contributions of derivative work from IBM
and Sequent into the Linux kernal.
.../...

.../...
We reviewed a portion of the Unix V kernal source code and the 2.4 Linux
kernal source code. SCO management highlighted examples of code that
could potentially represent literal duplication of source code. Compared
side-by-side, the code was identical - same variables, declaratives,
nomenclature, style and comments. The primary difference was the
removal of the copyright notices that appeared in the UNIX code which
were missing in the Linux code.

The assertion by SCO management is that they own the copyright and
rights to the UNIX kernal code and that it was placed into the Linux 2.4
kernal (the kernal code we reviewed was NOT, according to them,
contributed by IBM) without their permission. Clearly this will be an issue
to be determined by the courts, but this sort of code review by
technologists and attorneys in large corporations is likely to raise some
potential concerns around legal exposure when running Linux.
On occasion in the source code, variable names may have been changed,
the style of declaring the variables differed, but nonetheless it appears near
identical. According to SCO management, in a 2002 judgement by the 3rd
Circuit court (Dun & Bradstreet versus Grace Consulting), IP violations were
upheld with only 27 lines of literally copied code out of hundreds of
thousands.

.../....

et plus loin:

.../...
SCO management acknowledges that portions of the duplicate code can be
rewritten, but this effort would have to be undertaken by companies in a
"clean" environment where the existing code could not be used as a model
for replacement code. But their primary assertion here is that the enterprise
scalable code contributed by IBM/Sequent (NUMA - Non Uniform Memory
Access, RCU - Read, Copy, Update, JFS - Journal File System, SMP -
Symmetric Multiprocessor Support, scheduler improvements, logical
partition support) all requires enormous resources to recreate and that the
derivative work contributed by commercial vendors was done without their
permission and in violation of their contracts. For SMP alone, they contend
that 150 header files and 600 source code files in Linux 2.4 are derivative
contributions (700 source code files for 2.5 Linux). This could represent, in
their opinion, 3-5 years of new effort and 25-50 million dollars of
commercially-inspired efforts.

The views expressed in this report accurately reflect the personal views of
the undersigned lead analyst about the subject issuers and the securities of
those issuers. In addition, the undersigned lead analyst has not and will not
receive any compensation for providing a specific recommendation or view
in this report. -Brian Skiba, Matthew Kelly

Je finis par y croire et me demander si l'une des 2 hypothèses suivantes ne serait pas la bonne:
1/ Un des équipes de devpt a effectivement trompé la communauté en pompant les lignes incriminées .
2/ C'est un coup fourré préparé de longue date, et le noyautage du noyau (Sic !!!)a été bien préparé.


Bref, une sale histoire ..... qui laissera des traces quelle que soit la suite des actions IBM / SCO sur la licence GPL.

Bye

Il me semble necessaire de clarifier la notion de certification Common Criterias:

1/ SUSE et IBM ont obtenu une certification EAL2+ par rapport à une cible de sécurité (TOE) publiée par eux
http://www.bsi.de/zertifiz/zert/reporte/0216b.pdf(...) http://www.bsi.de/zertifiz/zert/reporte/0216a.pdf.(...)

Le niveau EAL2 signifie que SUSE et IBM ont financé une étude qui prouve que, par rapport à cette TOE (cible de sécurité), la structure de la solution (hard+soft) a été jugée conforme.
EAL2 c'est donc un critère de qualité de définition de la structure, mais pas une garantie de sécurité.

EAL2 - structurally tested

EAL2 requires the cooperation of the developer in terms of the delivery of design information and test results, but should not demand more effort on the part of the developer than is consistent with good commercial practice. As such it should not require a substantially increased investment of cost or time.

EAL2 is applicable in those circumstances where developers or users require a low to moderate level of independently assured security in the absence of ready availability of the complete development record. Such a situation may arise when securing legacy systems, or where access to the developer may be limited.


c’est bizzare dans le cas de Linux, pour obtenir un niveau d’évaluation EAL2, l’accessibilité au code source de l'OS n’est même pas nécessaire (seulement à partir d'EAL3)
Pour obtenir EAL3 il faudra du temps, beaucoup de sous, et l'analyse des sources.
Pour obtenir EAL4, il faudrait des milions d'Euros, et que SUSE soit développé dans une "usine à logiciel" équipée d'outil de gestion du cycle de vie, et de méthodologie normalisée: pas simple pour la communauté du libre , et assez incompatible avec le "bazar" qui offre d'autres avantages tels que la spontanéité généreuse !!!

2/ Windows 2000 SP3 a obetnu une certification EAL4+ par rapport à une cible de sécurité aussi publiée (elle comprend IPSEC, l'authentification Kerberos, et l'accès LDAP)
http://niap.nist.gov/cc-scheme/CCEVS-VID402.html(...)
Le process de certif aurait duré environ 2 ans !!
EAL4 exige l'analyse du code source, pour vérifier que les assertions de la TOE sont vraies, que le code a été conçu et documenté en vue d'un audit de sécurité ultérieur, et que le process de développement permette de maintenir dans le temps cette certification.


EAL4 - methodically designed, tested and reviewed

EAL4 permits a developer to maximize assurance gained from positive security engineering based on good commercial development practices. Although rigorous, these practices do not require substantial specialist knowledge, skills, and other resources. EAL4 is the highest level at which it is likely to be economically feasible to retrofit to an existing product line. It is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs, and are prepared to incur additional security-specific engineering costs.

An EAL4 evaluation provides an analysis supported by the low-level design of the modules of the TOE, and a subset of the implementation. Testing is supported by an independent search for vulnerabilities. Development controls are supported by a life-cycle model, identification of tools, and automated configuration management.



Autre point, ce n'est pas la version SUSE "standard" qui a passé la certif, mais une version modifiée « certification-sles-eal2 » uniquement disponible auprès d’eux, qui doit etre compilée par SUSE, et la certif n'est valide que sur le hard IBM indiqué dans la doc.

Donc cette certif de SUSE/IBM n'est pas applicable à Mandrake, Red Hat ou autre, ... qui devront se faire sponsoriser par un autre partenaire,.
Il va leur falloir des millions d'Euros s'ils veulent plus que le niveau EAL2 !!!!

Bye

Arrete ton char !!
Avec de tels arguments tu décrédibilise la cause du libre.

Si tu ne passes pas les Patchs sur ton server LNX, tu es dangereux pour ton employeur !!! alors ne propage pas un tel mythe (y'a des correctifs de sécurité que dans Windows) qui est trop facilement criticable.


Il y a hélas des failles chez tout le monde (proprio ou non),
Regarde le site officiel de la DCSSI qui peut etre vraiment considéré comme un juge impartial:
http://www.certa.ssi.gouv.fr/site/2003index2.html(...)

On est en train de considérer qu'au royaume des aveugles, les borgnes sont rois.
Pour moi, faire partie de cette liste du CERTA, c'est aussi inacceptable chez les uns que chez les autres.


Alors soyons sérieux, que celui qui a un OS sans aucun patch lève le doigt !!

L'interropérabilité, on la réalisera plus en respectant les standards d'interopérabilité: ex: XML, SOAP, Web Sces, .... qu'avec un logiciel X ou Y.
C'est encore le syndrome J2EE qui nous a tous conduit dans le mur, on croyait qu'on pouvait développer une fois pour faire tourner partout, et on s'est planté.
La vraie priorité était de garantir l'interop en environnement hétérogène, en préservant l'investissement humain, applicatif, et financier

Ce qui m'interesse d'abord c'est d'avoir une interopérabilité garantie et perenne entre l'application X et l'application Y, même si l'un libre et l'autre propriètaire.
Si c'est le cas, on aura chacun la liberté de choisir le meilleur produit au meilleur cout de possession, et l'émulation sera telle entre eux que nous y gagnerons tous en qualité et en budget.

La vraie garantie de pouvoir changer de logiciel quand on veut, ce sont les standards, pas le libre.
Le libre c'est autre chose, c'est un choix de philosophie, et de vision d'un écosystème de la société, c'est un choix politique.
Mais je ne voudrait pas qu'un jour un logiciel quelconque (libre ou pas) ayant une de part de marché prépondérante m'impose un format de fichier dans lequel je serai verouillé.

La priorité de l'Europe, c'est "d'obliger" au respect des standards d'interopérabilité. Aujourd'hui en France, on en est encore à batir un repertoire de shémas XML, alors que les anglais ont annoncé que tout produit non XML sera interdit prochainement dans l'administration.

Ce sont les SSII qui n'ont pas interet aux standards d'interopérabilité, car ca rapporte des années-hommes de Chiffre d'Affaire de construire de l'interop sur mesure.

Comment comprendre que les Appels d'Offre publics n'imposent encore que rarement XML, avec un schéma XML publié et évolutif !!!!
C'est un combat qui me semble largement plus urgent que les logiciels libres: ex: L'ex-ATICA m'a expliqué que Open Office était moins conforme à XML que Office 2003 : un comble !!!
Je veux sauvegarder mon traitement de texte en XML, avec le schéma XML que j'ai choisi (pas celui que Open Office m'impose).

Qu'en penses tu ?

L'article ci-après explique que plus de 80% des 14000 PC's seront équipés de VM Ware pour faire trourner Windows sur Linux... tu parles d'une économie !!!
Qui a plus d'infos ?

http://www.wininformant.com/Articles/Index.cfm?ArticleID=39614(...)

Fun Fact About Those Linux PCs in Munich
And speaking about Linux stories you don't hear much from the Linux-loving mainstream press, consider the following. Remember that story about the city of Munich choosing Linux to power 14,000 desktop computers? One aspect of this story that most people don't know about is that up to 80 percent of those Linux desktops will be equipped with VMWare, a virtual machine emulator, under which they will run Windows and Windows applications. That's right, folks: The majority of those "Linux desktops" will be used to run … Windows. I'm not a big fan of Gartner, but they've issued a report, correctly titled, "Munich's Choice Doesn't Prove Linux OK for General Desktop Use," that raises some interesting issues. First, many of the Windows desktops they're migrated are very old Windows versions like Windows 3.1, making the switch to Linux less painful (it would be equally painful to switch to XP). Gartner says the cost of switching to Linux will cost 30 million Euros, or 3 million Euros more than it would cost to switch to XP, not including any steep discounts Microsoft would have no doubt provided. And finally, because most of the Linux machines will use VMWare to run Windows anyway, Linux is really being used as a hosting environment, and not as a replacement. In other words, this isn't exactly a good business case on which other companies can base a decision to migrate to Windows desktops. And, not coincidentally, that's why we're not reading about a lot of other high-profile Linux switchers.