Tout le monde n'est pas intégriste au point de préférer ne rien utiliser ou utiliser un truc qui marche avec beaucoup de difficulté qu'utiliser un truc non libre.
Au fait, vôtre BIOS est libre, où vôtre librisme s'arrête sous de basses considération pratiques quand ça vous arrange?
Perso, j'ai abandonne l'idée de tester les clients libres, à force d'avoir subit des "conseils" qui font juste perdre du temps.
je n'utilise pas de logiciels de vidéoconf
C'est justement le problème : plein de libristes conseillent plein de trucs sans utiliser. Du coup, ça fait juste penser que les libristes sont à ne pas écouter, car ils militent sans utiliser et donc ne subissent pas les problèmes de ce qu'ils coseillent. C'est contre-productif, sauf à vouloir faire passer les libristes pour des personnes à ne pas écouter.
A chaque fois qu'on parle de Skype, on "nous" sort plein de noms de "concurrents tout pareil mais libres" sensés fonctionner.
Mais à chaque fois que j'ai testé : marche pas, il manque toujours plusieurs trucs (soit pas de gestion de la présence car que SIP, soit pas d'audio, soit pas multi-plateforme, soit merde avec les NAT…).
Donc, la, est-ce que tu peux t'engager (moralement) à ce que Jitsi marche à travers 2 NAT, par exemple? C'est une des fonctionnalités majeure de Skype (marcher partout). Ou est-ce encore un nom envoyé en l'air sans avoir testé?
un artiste n'a pas le droit de revendiquer le droit de vivre de son art ?
Je n'ai pas à le subventionner juste parce que c'est un artiste, ni à l'écouter d'ailleurs.
Ce droit que tu veux, c'est quoi comme délire? Je me positionne artiste, je viens frapper à ta porte et t'oblige à me donner de quoi vivre, c'est ça? Non merci (mais si tu veux faire ça fait-moi signe, j'arrive de suite te demander du fric car tu aimes ce "droit de").
Ici, personne ne veut interdire à qui que ce soit de vendre, où trouves-tu ça? Ce qui est dit, c'est que les artistes n'ont pas forcément pour but de vendre, ça ne les empêche pas d'essayer de vendre (et de le faire si leur art à une valeur marchande).
Je suis au courant que ça merde, point.
Ton blabla technique, tout le monde sauf les masos s'en fout complet.
La première fonctionnalité d'un logiciel est de marcher. Après, si c'est libre tant mieux, mais un truc libre qui ne marche pas en pratique, ben ça ne sert à rien.
Malheureusement pour toi, force est de constater que Skype marche (texte, audio, vidéo, affichage écran, gestion de la mobilité, bref la base de chez la base depuis des années) et que XMPP est fait en pratique que du texte et encore seulement si ton réseau est "pur".
On parle de motif illégitime (se faire mousser, revendre, utiliser…), alors eux, franchement, je m'en balance complet de leur condamnation, voire ça me va.
Perso, je parlais d'un non risque lors d'un responsible disclosure, et donc ton article ne s'applique pas.
Condamner les irresponsible disclosure me convient complètement.
Je ne comprends pas ton propos, tu mélanges réactivité et stabilité.
Du réactif non stable n'est pas du réactif.
Tu confirmes bien donc ce que je disais: tu utilises (ou parle d'utiliser) du test pour de la production.
on te montre que si c'est réactif
Non, me démontrer ça serait que grsecurity soit en stable avec la 3.9, ce qu'il n'est pas.
Pire, à revoir kernel.org, la dernière longterm (ne rigolons pas, ne parlons pas de dernière stable) est la 3.4, pas en stable pour grsecurity, oups… Tu parles d'une réactivité! tu le dis toi-même "certaines LTS de Linux", du coup quand elle n'est pas choisie, ben réactivité à la ramasse.
Ou plus audacieux, est ce que la monté du front national en France et la monté de la sécurité informatique ne sont pas liés ( liés dans le sens ou "se méfier des autres" devient une idée de société prédominante )
Mélange un peu rapide… On peut aussi voir que la sécurité va de pair avec la démocratisation de l'informatique, avec des choses intéressantes à récupérer à nos jours (compte bancaire, secret industriel… Et ce en masse).
Et les gens veulent se protéger du vol depuis bien avant l’existence du FN et de l'informatique.
Et ce que la démocratisation de l'informatique et la montée de la sécurité informatique ne sont pas liées?
J'ai zappé la partie "vente" du thread, forcément du coup je raconte n'importe quoi ou plutôt je te rejoins. Je nuancerai juste en disant que si tu es responsable, tu fais alors un logiciels closed-source avec obfuscation qui fait juste un appel root à la con pour démontrer en essayant d’empêcher le client de pouvoir l'utiliser pour autre chose.
Ici, on parle d'une personne qui veut se la péter dans le niveau d'écriture mais qui n'est pas capable de ne pas faire de fautes, c'est tout.
Je te rappelle que le mot utilisé sort de ta bouche (et qu'il fallait te faire remarquer que tu ne sais pas l'écrire)
Pas d'incivilité (tu en fantasmes?), juste faire remarquer que c'est pas une position des plus crédible.
J'enfonce des portes ouvertes, ça a l'air évident, mais bon, ça n'avait pas l'air compris.
Pas forcément : par définition, on sait qu'un buffer non maîtrisé peut amener à tout et n'importe quoi.
1) est donc de voir que tu tapes pas la où il faut
2) est donc de voir que tu ne tapes plus
C'est ce qui a été fait sur le GIT si j'ai bien compris (la personne ne savait pas forcément que c'était utilisable en vrai)
Pas besoin de prouver que tu passes root pour devoir corriger ce type de problème, il faut le corriger dans tous les cas.
Par contre, pour sortir un CVE, il faut prouver que ça craint sinon on ne s'en sort plus (c'est simple, tu rebootes toutes les heures à partir du GIT, ou alors tu es noyé dans le flot et ne regardes plus), et donc la il faut ton 1) et 2).
Le hic est que ça prend 1000x plus de temps, et que pendant que certains s'amusent à faire un OS blindé inutile car le temps passé est sur l'écriture de CVE pour chaque patch, d'autres font un OS utile et utilisé avec parfois une faille mais pas tant que ça en fait.
Ca s'appelle un compromis (entre sécurité et fonctionnalité).
Un bug est un bug, c'et un choix, on ne sait pas forcément que c'est de sécurité c'est tout, c'est quoi le problème la dessus?
Et je ne vois pas le rapport entre la politique de sécurité de Linux (il y en a une : un bug est un bug) et le fait que quelqu'un ne prévient personne (Si Linus ne veut pas, ok, mais au moins prévenir les distros qui s'interessent à la sécu non?) quand il a une démo, et surtout qu'il balance la démo comme ça quand ça lui chante.
Si il ne cherche pas, je ne l'accuse pas de ne pas chercher.
Si il trouve mais ne dit jamais rien, passe encore.
Si il trouve et balance l'exploit quand la faille est patchée par quelqu'un d'autre qui ne sait pas forcément que c'est un problème de sécurité, désolé de ne pas dégager la personne de son irresponsabilité et/ou intention de nuire.
Pour faire une analogie (en admettant que Linux ai une "politique pourrie"), ce n'est pas parce qu'une porte est ouverte (politique de sécurité pourrie) que ça te légitime d'entrer et tout prendre (utiliser ton hack), ou dire aux autres comment faire ("allez y les gars, cassez tout").
alors qu'ils ont aussi l'obligation "morale" de prévenir lorsqu'un bug qu'ils ont réparé était exploitable
Tu sais, toi, qu'ils savaient que c'était exploitable? Ils avaient codé une démo? Source?
C'est la "petite" différence qui change tout… Je l'ai écrit déjà ("faire la recherche").
que le DRM d'une solution x est inutile (Dmitry contre Adobe)
Tu as lu ce que j'ai écrit? La, on parle de DRM, même pas libre, qui est juridiquement protégé (contourner un DRM est illégal, DMCA aux USA, DADVSI en France).
Au passage, tout le monde n'habite pas dans des pays bizarre, et perso je publie depuis des années un crack qui casse des DRM sans être inquiété.
Passer root sur ta machine à toi n'est pas illégal à ma connaissance, où sort moi le texte.
Il y a parfois des risques, oui, je n'ai jamais nié ça (tu donnes un exemple DRM qui ne t'appartient pas, j'en donne un CB) mais certainement pas pour ce dont on discute, ne te cache pas derrière des exemples différents.
Ils ne sont pas payés pour faire la recherche donc n'ont pas d'obligation de publication
On parle de responsabilité.
Personne ne parle d'obligation.
Tu trouves responsable l'idée (si on augmente ton principe) de laisser crever des gens alors que tu aurais pu empêcher ça en informant juste la bonne personne, et tu peux dormir tranquille, pas moi. Ils ne sont pas payés pour faire la recherche? Qu'ils ne la fassent pas. Mais si ils trouvent, c'est de leur responsabilité (non légale) d'informer la bonne personne (et si l'upstream s'en fout, tant pis, ils auront fait ta part). Ils n'en n'ont pas l'obligation légale certes, mais cette non obligation n'enlève pas l'idée que ces personnes sont des salopards (sans les guillemets).
Tu as un conscience très sélective.
Le point le plus important: la publication de découvertes de sécurité est une pratique dangereuse. Cela ne s'applique sans doute pas à linux, mais publier en son nom propre (même en suivant les pratiques de "responsible disclosure") expose le chercheur à des ripostes légales. Parfois prendre ce risque gratuitement ne vaut pas le coup.
Tu le dis toi-même : ça ne s'applique pas à Linux. Et ici, on parle de?
informer seulement l'upstream uniquement n'a jamais fait prendre des risques légaux dans ce milieu. Il y a même des confs dédiées à ça! Au pire on t'ignore (genre Microsoft), au mieux on te récompense nominativement et financièrement (hop, pratique tu perds ton argument "risque gratuit") (genre Mozilla et Google).
Les risques sont si tu t'attaques au système d'un autre (accès frauduleux genre si tu t'attaques au GIE carte bancaire, il y en a un qui en a fait les frais), ici tu peux t'attaquer à ton propre système, donc le seul risque et de te prendre un procès de toi-même, risque gérable.
Ne te cache pas devant des excuses fallacieuses pour te donner bonne conscience.
Se boucher les oreilles et crier lalalala n'est pas un argument valide.
Tu parles de toi?
La politique de sécurité de linux est puante
Ce n'est pas parce qu'elle ne te plait pas qu'elle est puante. C'est un choix. Qui a l'air de plaire.
La politique de sécurité de linux est puante et ce n'est pas parce que l'équipe de dev de linux se complait dans leur médiocrité que c'est comme ça que ça doit fonctionner.
Je t'en prie, propose mieux. En vrai, hein, pas en lalalala, pour démontrer qu'il est possible de mieux faire (en plus, tu dis toi-même que les "méchants" scannent les logs GIT, donc ça doit être aussi possible pour les "gentils").
Perso, je constate juste que Linux est sur tous les serveurs ou presque non pas parce que les commerciaux sont doués, mais parce qu'il répond au besoin technique (sécurité comprise, faut voir comparé à d'autres OS).
se complait dans leur médiocrité que c'est comme ça que ça doit fonctionner.
Je reprend ce bout de phrase, mais l'utilise pour ton "(Je connais personnellement des dizaines de personnes qui le font, moi y compris)".
mais ça apprend plein de choses de faire tout à la main.
Oui, on peut tout faire à la main, même à manger, faire sa maison et son lit, et construire ses moyens de transports.
Si tu as le temps.
Perso, je ne sais pas comment tu fais, mais moi je n'ai pas le temps de tout faire à la main.
Alors quand on peut ne pas le faire… Surtout sur de la prod.
J'espère qu'on ne te paye pas pour perdre ton temps à apprendre des choses si peu utiles, sinon il y a de quoi râler de la part de celui qui paye si tu ne l'as pas mis au courant de ce que tu fais.
Oracle ne propose ksplice que pour son kernel maison
Euh… Je ne connais pas du tout à part le site web, mais sur le site web il y a RHEL, Fedora 2 versions, Ubuntu 4 versions.
Ensuite, peut être que je suis mauvaise langue, c'est vrai, ksplice inc avait réussi à avoir 70 clients en 2 ans d'existence, c'est pas mal.
Vu le domaine, c'est un marché de niche. Et c'est mieux d'avoir 70 clients à 1 Million que 1 million de client à 10€.
Ce nombre seul ne suffit pas dans ce domaine. On ne sait rien de la valorisation de la chose (Le prix d'achat na pas été rendu public à a connaissance)
kadalka est trolleur professionnel (mais contrairement à moi, il tape surtout dans le négatif) et commence à -10 vu la merde (ce n'est pas moi qui le dit, mais les utilisateurs de ce site) qu'il raconte d'habitude. La, en fait, il a déjà eu plein de "pertinent" sur ce commentaire.
sd n'a rien fait de mal en gardant pour lui ses résultats. Il n'a rien publié avant que ce soit connu, il ne s'est même pas plaint que ce soit devenu public. Il n'a rien fait d'irresponsable.
Tu arrives à rester sérieux en écrivant ça?
Bon, il sait que ça va exploser un jour, il a de quoi empécher l'explosion, mais il laisse exploser, c'est responsable de ton point de vue, le mec est un salopard du mien.
Ton argument d'autorité, tu peux le garder
Relit, je ne parles pas d'autorité, rien à faire de l'autorité.
Je dis simplement que les autres ont l'air de très bien vivre avec ça, et que personne n'arrive à proposer "mieux".
Je ne parle pas d'autorité, je dis juste que ça marche. Ensuite, libre (c'est beau le libre) à d'autres de te proposer une review de sécurité si ça vaut le coup.
le mec de grsecurity qui s'y connait "un peu" en sécurité linux
Tu es au courant qu'il y a un très faible nombre de gens qui utilisent grsecurity? Il faut croire que la vision de Spender n'attire pas plus foule que ça.
L'avantage du libre, c'est que tu peux, toi, proposer ta vision sans problèmes. Faut juste que les autres suivent. grsecurity est un très bon exemple, ses patchs sont jugés foireux, rejetés de la branche principale, et il est bloqué à Linux 3.4.4, ça manque un peu de réactivité…
Libre à toi d'avoir une autre politique de sécurité, chacun sa liberté et sa politique de sécurité (vive le libre), mais désolé, je n'accepte pas qu'on balance que ce comportement de salopard (pour reprend ton mot qui a bien sans les guillemets) est ce qu'on peut appeler, même de loin, responsable. c'est au mieux du je m'en foutiste, mais ici ce n'est pas le cas puisque la personne a codé une démo pour se faire mousser, donc la c'est l’irresponsabilité complète et/ou le plaisir de nuire.
De ce que je comprends de la définition de la haute disponibilité, même une panne matériel grave ne doit pas impacter les services.
Ce que j'en comprend, c'est que si tout est redondé, mais que pendant 2 minutes tu rebootes, ben tu as volontairement cassé ta redondance et donc tu es en période de danger. Donc toute suppression d'indispo est bonne à prendre, même tout redondé (justement car tu enlèves ta redondance lors du reboot).
Après, est-ce que ça vaut le coup de risquer une merde complexe avec ksplice ou tripler le matos… Question à laquelle je ne peux répondre (perso, je vois le matos comme pas cher de nos jours, je voterai pour tripler le matos plutôt, mais c'est 100% subjectif et certain matos est très cher).
Car quand je vois les problèmes, pour reloader dynamiquement un simple module python,
Troll: après, tu parles d'un langage de prototypage… ;-)
Je ne vois pas trop comment ça peut marcher ce truc…
Ca change les adresses pour les nouveaux appels, c'est vraiment pas idiot. Mais c'est pas trivial, donc pas fait par tous (genre Python que tu as cité : c'est peut-être pas leur priorité)
Le "salopard" en question ne fait que suivre ce qui est standard dans l'industrie de la sécurité, c'est à dire découvrir des bugs, coder l'exploit pour soi et attendre que ça tombe ailleurs. (Je connais personnellement des dizaines de personnes qui le font, moi y compris)
Ce genre de personne que tu décris est bien un salopard, pas besoin de mettre des guillemets.
Et non, ce n'est pas standard dans l'industrie de la sécurité, il y en a pas mal qui découvrent des bugs, codent l'exploit pour démontrer aux autres qu'il y a un réel problème, démonstration soit privée (responsible disclosure, la personne attend le patch puis se fais la pub, si ça tarde trop hop en public pour forcer le patch), soit en public lors des meeting de sécurité, et parfois empochent quelques milliers de $ en remerciement, soit un bon gros plaisir sadique de faire du 0-day (irresponsible disclosure).
2- Lorsqu'un développeur a trouvé le bug (une écriture en dehors du buffer !!) ils ont corrigé le bug sans même créer un CVE
Le développeur ne savait peut-être pas que ça posait un problème utilisable de sécurité. Si il faut faire un CVE pour chaque patch…
Ces personnes sont les véritables irresponsables, car un bug de sécurité a été publié dans la nature sans que le patch ne soit prêt à être déployé.
C'est à ma connaissance la politique de Linus depuis le début, ton irresponsable a quand même un CV en béton.
Libre à toi de critiquer cette façon de faire, libre à eux de considérer que l'industrie s’accommode très bien de cette façon de faire et de t'envoyer chier. Il te reste à démontrer que ta façon de faire est viable et meilleure. Eux démontrent, pas toi.
Et je suis convaincu que ce n'est pas le premier bug de sécurité publié ouvertement dans le git sans qu'il y ait le moindre CVE et backporté dans aucune distribution majeure.
Tant que ce n'est pas exploité, ça ne pose aucun problème. Sans compter que la plupart du temps, c'est non exploitable.
[^] # Re: La guerre des écosystèmes continue
Posté par Zenitram (site web personnel) . En réponse au journal Google Hangouts remplace Talk: la fin de la fédération XMPP ?. Évalué à -2.
Tout le monde n'est pas intégriste au point de préférer ne rien utiliser ou utiliser un truc qui marche avec beaucoup de difficulté qu'utiliser un truc non libre.
Au fait, vôtre BIOS est libre, où vôtre librisme s'arrête sous de basses considération pratiques quand ça vous arrange?
En attendant que le libre se bouge, Skype est la.
[^] # Re: La guerre des écosystèmes continue
Posté par Zenitram (site web personnel) . En réponse au journal Google Hangouts remplace Talk: la fin de la fédération XMPP ?. Évalué à -1.
Perso, j'ai abandonne l'idée de tester les clients libres, à force d'avoir subit des "conseils" qui font juste perdre du temps.
C'est justement le problème : plein de libristes conseillent plein de trucs sans utiliser. Du coup, ça fait juste penser que les libristes sont à ne pas écouter, car ils militent sans utiliser et donc ne subissent pas les problèmes de ce qu'ils coseillent. C'est contre-productif, sauf à vouloir faire passer les libristes pour des personnes à ne pas écouter.
[^] # Re: La guerre des écosystèmes continue
Posté par Zenitram (site web personnel) . En réponse au journal Google Hangouts remplace Talk: la fin de la fédération XMPP ?. Évalué à 4.
A chaque fois qu'on parle de Skype, on "nous" sort plein de noms de "concurrents tout pareil mais libres" sensés fonctionner.
Mais à chaque fois que j'ai testé : marche pas, il manque toujours plusieurs trucs (soit pas de gestion de la présence car que SIP, soit pas d'audio, soit pas multi-plateforme, soit merde avec les NAT…).
Donc, la, est-ce que tu peux t'engager (moralement) à ce que Jitsi marche à travers 2 NAT, par exemple? C'est une des fonctionnalités majeure de Skype (marcher partout). Ou est-ce encore un nom envoyé en l'air sans avoir testé?
[^] # Re: Sifflement
Posté par Zenitram (site web personnel) . En réponse au journal Comment écoutez-vous de la musique ?. Évalué à 1.
Je n'ai pas à le subventionner juste parce que c'est un artiste, ni à l'écouter d'ailleurs.
Ce droit que tu veux, c'est quoi comme délire? Je me positionne artiste, je viens frapper à ta porte et t'oblige à me donner de quoi vivre, c'est ça? Non merci (mais si tu veux faire ça fait-moi signe, j'arrive de suite te demander du fric car tu aimes ce "droit de").
Ici, personne ne veut interdire à qui que ce soit de vendre, où trouves-tu ça? Ce qui est dit, c'est que les artistes n'ont pas forcément pour but de vendre, ça ne les empêche pas d'essayer de vendre (et de le faire si leur art à une valeur marchande).
[^] # Re: La guerre des écosystèmes continue
Posté par Zenitram (site web personnel) . En réponse au journal Google Hangouts remplace Talk: la fin de la fédération XMPP ?. Évalué à -2.
Je suis au courant que ça merde, point.
Ton blabla technique, tout le monde sauf les masos s'en fout complet.
La première fonctionnalité d'un logiciel est de marcher. Après, si c'est libre tant mieux, mais un truc libre qui ne marche pas en pratique, ben ça ne sert à rien.
Malheureusement pour toi, force est de constater que Skype marche (texte, audio, vidéo, affichage écran, gestion de la mobilité, bref la base de chez la base depuis des années) et que XMPP est fait en pratique que du texte et encore seulement si ton réseau est "pur".
Revenez quand vous avez un truc qui marche.
[^] # Re: Ouam
Posté par Zenitram (site web personnel) . En réponse au journal Comment écoutez-vous de la musique ?. Évalué à 2.
Dans le même style que la VHS, moi j'aime bien l'ASCII art. Mais seulement avec parcimonie toutefois.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 2.
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418323&cidTexte=LEGITEXT000006070719
"Le fait, sans motif légitime, d'importer, (…)"
On parle de motif illégitime (se faire mousser, revendre, utiliser…), alors eux, franchement, je m'en balance complet de leur condamnation, voire ça me va.
Perso, je parlais d'un non risque lors d'un responsible disclosure, et donc ton article ne s'applique pas.
Condamner les irresponsible disclosure me convient complètement.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1. Dernière modification le 20 mai 2013 à 15:28.
Je ne comprends pas ton propos, tu mélanges réactivité et stabilité.
Du réactif non stable n'est pas du réactif.
Tu confirmes bien donc ce que je disais: tu utilises (ou parle d'utiliser) du test pour de la production.
Non, me démontrer ça serait que grsecurity soit en stable avec la 3.9, ce qu'il n'est pas.
Pire, à revoir kernel.org, la dernière longterm (ne rigolons pas, ne parlons pas de dernière stable) est la 3.4, pas en stable pour grsecurity, oups… Tu parles d'une réactivité! tu le dis toi-même "certaines LTS de Linux", du coup quand elle n'est pas choisie, ben réactivité à la ramasse.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1.
Mélange un peu rapide… On peut aussi voir que la sécurité va de pair avec la démocratisation de l'informatique, avec des choses intéressantes à récupérer à nos jours (compte bancaire, secret industriel… Et ce en masse).
Et les gens veulent se protéger du vol depuis bien avant l’existence du FN et de l'informatique.
Et ce que la démocratisation de l'informatique et la montée de la sécurité informatique ne sont pas liées?
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1.
Flemme de chercher pour le reste, concentrons-nous la dessus :
Effectivement, je me suis trompé, j'ai été trop gentil, c'est que 3.2 (j'avoue avoir mal lu wikipedia trop vite, mauvaise ligne qui est vieille)
Tu fais de la sécurité avec des versions de tests non jugées stables par les développeurs?
[^] # Re: Silent patching
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 2. Dernière modification le 20 mai 2013 à 08:17.
J'ai zappé la partie "vente" du thread, forcément du coup je raconte n'importe quoi ou plutôt je te rejoins. Je nuancerai juste en disant que si tu es responsable, tu fais alors un logiciels closed-source avec obfuscation qui fait juste un appel root à la con pour démontrer en essayant d’empêcher le client de pouvoir l'utiliser pour autre chose.
[^] # Re: Sifflement
Posté par Zenitram (site web personnel) . En réponse au journal Comment écoutez-vous de la musique ?. Évalué à 3. Dernière modification le 19 mai 2013 à 23:45.
Ici, on parle d'une personne qui veut se la péter dans le niveau d'écriture mais qui n'est pas capable de ne pas faire de fautes, c'est tout.
Je te rappelle que le mot utilisé sort de ta bouche (et qu'il fallait te faire remarquer que tu ne sais pas l'écrire)
Pas d'incivilité (tu en fantasmes?), juste faire remarquer que c'est pas une position des plus crédible.
J'enfonce des portes ouvertes, ça a l'air évident, mais bon, ça n'avait pas l'air compris.
[^] # Re: Silent patching
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1.
Pas forcément : par définition, on sait qu'un buffer non maîtrisé peut amener à tout et n'importe quoi.
1) est donc de voir que tu tapes pas la où il faut
2) est donc de voir que tu ne tapes plus
C'est ce qui a été fait sur le GIT si j'ai bien compris (la personne ne savait pas forcément que c'était utilisable en vrai)
Pas besoin de prouver que tu passes root pour devoir corriger ce type de problème, il faut le corriger dans tous les cas.
Par contre, pour sortir un CVE, il faut prouver que ça craint sinon on ne s'en sort plus (c'est simple, tu rebootes toutes les heures à partir du GIT, ou alors tu es noyé dans le flot et ne regardes plus), et donc la il faut ton 1) et 2).
Le hic est que ça prend 1000x plus de temps, et que pendant que certains s'amusent à faire un OS blindé inutile car le temps passé est sur l'écriture de CVE pour chaque patch, d'autres font un OS utile et utilisé avec parfois une faille mais pas tant que ça en fait.
Ca s'appelle un compromis (entre sécurité et fonctionnalité).
[^] # Re: Responsabilité
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 5. Dernière modification le 19 mai 2013 à 12:52.
Un bug est un bug, c'et un choix, on ne sait pas forcément que c'est de sécurité c'est tout, c'est quoi le problème la dessus?
Et je ne vois pas le rapport entre la politique de sécurité de Linux (il y en a une : un bug est un bug) et le fait que quelqu'un ne prévient personne (Si Linus ne veut pas, ok, mais au moins prévenir les distros qui s'interessent à la sécu non?) quand il a une démo, et surtout qu'il balance la démo comme ça quand ça lui chante.
Si il ne cherche pas, je ne l'accuse pas de ne pas chercher.
Si il trouve mais ne dit jamais rien, passe encore.
Si il trouve et balance l'exploit quand la faille est patchée par quelqu'un d'autre qui ne sait pas forcément que c'est un problème de sécurité, désolé de ne pas dégager la personne de son irresponsabilité et/ou intention de nuire.
Pour faire une analogie (en admettant que Linux ai une "politique pourrie"), ce n'est pas parce qu'une porte est ouverte (politique de sécurité pourrie) que ça te légitime d'entrer et tout prendre (utiliser ton hack), ou dire aux autres comment faire ("allez y les gars, cassez tout").
[^] # Re: Et?
Posté par Zenitram (site web personnel) . En réponse au journal 1.5 Milliards dépensés par l'État dans du non libre. Évalué à 2.
Tu as dit "Microsoft France rentre dans les criteres du coup"
Ben si pas de développeurs : non, il ne rentre pas.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1. Dernière modification le 19 mai 2013 à 12:28.
Tu sais, toi, qu'ils savaient que c'était exploitable? Ils avaient codé une démo? Source?
C'est la "petite" différence qui change tout… Je l'ai écrit déjà ("faire la recherche").
Tu as lu ce que j'ai écrit? La, on parle de DRM, même pas libre, qui est juridiquement protégé (contourner un DRM est illégal, DMCA aux USA, DADVSI en France).
Au passage, tout le monde n'habite pas dans des pays bizarre, et perso je publie depuis des années un crack qui casse des DRM sans être inquiété.
Passer root sur ta machine à toi n'est pas illégal à ma connaissance, où sort moi le texte.
Il y a parfois des risques, oui, je n'ai jamais nié ça (tu donnes un exemple DRM qui ne t'appartient pas, j'en donne un CB) mais certainement pas pour ce dont on discute, ne te cache pas derrière des exemples différents.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 7.
On parle de responsabilité.
Personne ne parle d'obligation.
Tu trouves responsable l'idée (si on augmente ton principe) de laisser crever des gens alors que tu aurais pu empêcher ça en informant juste la bonne personne, et tu peux dormir tranquille, pas moi. Ils ne sont pas payés pour faire la recherche? Qu'ils ne la fassent pas. Mais si ils trouvent, c'est de leur responsabilité (non légale) d'informer la bonne personne (et si l'upstream s'en fout, tant pis, ils auront fait ta part). Ils n'en n'ont pas l'obligation légale certes, mais cette non obligation n'enlève pas l'idée que ces personnes sont des salopards (sans les guillemets).
Tu as un conscience très sélective.
Tu le dis toi-même : ça ne s'applique pas à Linux. Et ici, on parle de?
informer seulement l'upstream uniquement n'a jamais fait prendre des risques légaux dans ce milieu. Il y a même des confs dédiées à ça! Au pire on t'ignore (genre Microsoft), au mieux on te récompense nominativement et financièrement (hop, pratique tu perds ton argument "risque gratuit") (genre Mozilla et Google).
Les risques sont si tu t'attaques au système d'un autre (accès frauduleux genre si tu t'attaques au GIE carte bancaire, il y en a un qui en a fait les frais), ici tu peux t'attaquer à ton propre système, donc le seul risque et de te prendre un procès de toi-même, risque gérable.
Ne te cache pas devant des excuses fallacieuses pour te donner bonne conscience.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1. Dernière modification le 19 mai 2013 à 11:30.
Tu parles de toi?
Ce n'est pas parce qu'elle ne te plait pas qu'elle est puante. C'est un choix. Qui a l'air de plaire.
Je t'en prie, propose mieux. En vrai, hein, pas en lalalala, pour démontrer qu'il est possible de mieux faire (en plus, tu dis toi-même que les "méchants" scannent les logs GIT, donc ça doit être aussi possible pour les "gentils").
Perso, je constate juste que Linux est sur tous les serveurs ou presque non pas parce que les commerciaux sont doués, mais parce qu'il répond au besoin technique (sécurité comprise, faut voir comparé à d'autres OS).
Je reprend ce bout de phrase, mais l'utilise pour ton "(Je connais personnellement des dizaines de personnes qui le font, moi y compris)".
[^] # Re: Et?
Posté par Zenitram (site web personnel) . En réponse au journal 1.5 Milliards dépensés par l'État dans du non libre. Évalué à 3.
Il y a autre chose que des commerciaux Microsoft en France?
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 2.
Oui, on peut tout faire à la main, même à manger, faire sa maison et son lit, et construire ses moyens de transports.
Si tu as le temps.
Perso, je ne sais pas comment tu fais, mais moi je n'ai pas le temps de tout faire à la main.
Alors quand on peut ne pas le faire… Surtout sur de la prod.
J'espère qu'on ne te paye pas pour perdre ton temps à apprendre des choses si peu utiles, sinon il y a de quoi râler de la part de celui qui paye si tu ne l'as pas mis au courant de ce que tu fais.
[^] # Re: et quid de Ksplice ?
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 2.
Euh… Je ne connais pas du tout à part le site web, mais sur le site web il y a RHEL, Fedora 2 versions, Ubuntu 4 versions.
Vu le domaine, c'est un marché de niche. Et c'est mieux d'avoir 70 clients à 1 Million que 1 million de client à 10€.
Ce nombre seul ne suffit pas dans ce domaine. On ne sait rien de la valorisation de la chose (Le prix d'achat na pas été rendu public à a connaissance)
[^] # Re: C'est légal le commerce d'exploit? J'en doute
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1.
kadalka est trolleur professionnel (mais contrairement à moi, il tape surtout dans le négatif) et commence à -10 vu la merde (ce n'est pas moi qui le dit, mais les utilisateurs de ce site) qu'il raconte d'habitude. La, en fait, il a déjà eu plein de "pertinent" sur ce commentaire.
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 3.
Tu arrives à rester sérieux en écrivant ça?
Bon, il sait que ça va exploser un jour, il a de quoi empécher l'explosion, mais il laisse exploser, c'est responsable de ton point de vue, le mec est un salopard du mien.
Relit, je ne parles pas d'autorité, rien à faire de l'autorité.
Je dis simplement que les autres ont l'air de très bien vivre avec ça, et que personne n'arrive à proposer "mieux".
Je ne parle pas d'autorité, je dis juste que ça marche. Ensuite, libre (c'est beau le libre) à d'autres de te proposer une review de sécurité si ça vaut le coup.
Tu es au courant qu'il y a un très faible nombre de gens qui utilisent grsecurity? Il faut croire que la vision de Spender n'attire pas plus foule que ça.
L'avantage du libre, c'est que tu peux, toi, proposer ta vision sans problèmes. Faut juste que les autres suivent. grsecurity est un très bon exemple, ses patchs sont jugés foireux, rejetés de la branche principale, et il est bloqué à Linux 3.4.4, ça manque un peu de réactivité…
Libre à toi d'avoir une autre politique de sécurité, chacun sa liberté et sa politique de sécurité (vive le libre), mais désolé, je n'accepte pas qu'on balance que ce comportement de salopard (pour reprend ton mot qui a bien sans les guillemets) est ce qu'on peut appeler, même de loin, responsable. c'est au mieux du je m'en foutiste, mais ici ce n'est pas le cas puisque la personne a codé une démo pour se faire mousser, donc la c'est l’irresponsabilité complète et/ou le plaisir de nuire.
[^] # Re: et quid de Ksplice ?
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 1.
Ce que j'en comprend, c'est que si tout est redondé, mais que pendant 2 minutes tu rebootes, ben tu as volontairement cassé ta redondance et donc tu es en période de danger. Donc toute suppression d'indispo est bonne à prendre, même tout redondé (justement car tu enlèves ta redondance lors du reboot).
Après, est-ce que ça vaut le coup de risquer une merde complexe avec ksplice ou tripler le matos… Question à laquelle je ne peux répondre (perso, je vois le matos comme pas cher de nos jours, je voterai pour tripler le matos plutôt, mais c'est 100% subjectif et certain matos est très cher).
Troll: après, tu parles d'un langage de prototypage… ;-)
Ca change les adresses pour les nouveaux appels, c'est vraiment pas idiot. Mais c'est pas trivial, donc pas fait par tous (genre Python que tu as cité : c'est peut-être pas leur priorité)
[^] # Re: HAHA
Posté par Zenitram (site web personnel) . En réponse à la dépêche Root exploit sur les noyaux linux 2.6.38 à 3.8.8. Évalué à 8.
Ce genre de personne que tu décris est bien un salopard, pas besoin de mettre des guillemets.
Et non, ce n'est pas standard dans l'industrie de la sécurité, il y en a pas mal qui découvrent des bugs, codent l'exploit pour démontrer aux autres qu'il y a un réel problème, démonstration soit privée (responsible disclosure, la personne attend le patch puis se fais la pub, si ça tarde trop hop en public pour forcer le patch), soit en public lors des meeting de sécurité, et parfois empochent quelques milliers de $ en remerciement, soit un bon gros plaisir sadique de faire du 0-day (irresponsible disclosure).
Le développeur ne savait peut-être pas que ça posait un problème utilisable de sécurité. Si il faut faire un CVE pour chaque patch…
C'est à ma connaissance la politique de Linus depuis le début, ton irresponsable a quand même un CV en béton.
Libre à toi de critiquer cette façon de faire, libre à eux de considérer que l'industrie s’accommode très bien de cette façon de faire et de t'envoyer chier. Il te reste à démontrer que ta façon de faire est viable et meilleure. Eux démontrent, pas toi.
Tant que ce n'est pas exploité, ça ne pose aucun problème. Sans compter que la plupart du temps, c'est non exploitable.