Vupen content que des chercheurs de failles ne les livrent pas à des éditeurs « multi-milliardaires »

[DrHelmut]

Je rejoins le point de vue du pdg de Vulpen : microsoft, comme beaucoup de gros éditeurs, sors des produits méchament bugués et voudrait bénéficier de l'aide gratuite d'une communauté de gens en matière de sécurité ?

Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !

Dans ma boite actuelle, nous sommes supposés être "intégrateurs" de solution IBM, et dans les faits, ils faut que nous payions pour des formations sur site que l'on pourrait faire avec des VM, en ligne... et concrètement nous beta-testosn leurs produits ! Entre la doc du commercial qui dit que le truc fait le café et la réalité ou tu obtiens des erreurs hallucinantes "out of the box" il y a un gouffre énorme... et le pire c'est qu'IBM ne veut pas qu'on leur fasse de report de bug sans un client pour porter le cout de sa correction !

Pour Microsoft, je ne sais pas s'ils mettent les moyens dans leurs tests, mis je n'en ai pas l'impression... Chez IBM, c'est sur, c'est codé avec les pieds et testé avec des singes...


Pour en revenir au topic, vouloir offrir l'analyse des vulnérabilités au plus offrant me parait tout à fait immoral, voire illégal... étrange qu'ils proposent cela...

[niuxe]

+1 Unix / Unix like.

Il y a moins bien mais c'est plus cher

[Null4Ever]

Citation:

Envoyé par DrHelmut

Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !

Aujourd'hui, le problème majeur vient du fait que nombre de gens estiment que l'Open Source signifie automatiquement GRATUIT!

Si développer des solutions intéressantes en Open Source tout en protégeant ses concepteurs/développeurs qui peuvent avoir envie et/ou besoin de vendre leurs codes pour en obtenir une juste rémunération afin de pouvoir ne serait-ce qu'en vivre, je suis tout à fait d'accord avec vous.

D'autres, développant par hobby ou passe-temps peuvent tout aussi bien donner un accès complet à leur travaux sans besoin de retour financier (Free Open Source).

Cependant, si vous êtes dans la première catégorie (ceux qui veulent développer de l'Open Source et ont besoin d'en tirer quand même un minimum de revenus), comment les protégez-vous d'un quelconque "GEANT" de l'industrie du logiciel qui vous pique votre travail sans vous rémunérer ?

Ce n'est pas avec vos "Copyright" que vous serez en mesure d'affronter financièrement pendant 10 ans les cohortes de "lawyers" de ces compagnies.

Been there, done that !

La solution s'appelle alors le Freeware mais "closed source" !

Il y a plein d'exemples de ce type, mais malheureusement, dans le microcosme Linux, cela n'est pas apprécié (les geeks appellent ces logiciels des solutions "propriétaires", même si elles sont compatibles avec plein de choses et aussi gratuites) !

Les "geeks" veulent tout, tout de suite et surtout gratuitement, même si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutôt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C.

De là à espérer leur demander une aide à un quelconque "déverminage"... j'en rigole tous les jours !

Donc pour ne revenir au topic de ce thread, OUI Vulpen a raison de ne pas vouloir divulguer son travail gracieusement.

Et c'est aussi une question d'éthique, car personne d'autres ne les payent pour leur job.

Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.

Maintenant, après, ne venez pas dire que vous n'avez pas été "gracieusement" prévenus !

Pour ceux qui ne sont pas définitivement convaincus de l'intérêt pour certains du "Freeware Closed Source", alors qu'ils commencent eux-même à jeter la première pierre autrement que par des contributions bidons en java, php, perl ou autre dans les multiples fora de geeks, solutions basiques et souvent bien bogués et peu documentées que tout le monde peut faire avec un tout petit peu de minimum d'expérience.

Just my 2 cents.

[alex_vino]

Citation:

Les "geeks" veulent tout, tout de suite et surtout gratuitement, même si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutôt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C

Tout comme le reste de ton message ca semble prétentieux et surtout fermé a toute discussion.
Je ne sais pas qu'elle est ta définition du mot "Geek" mais je voudrais te répondre que le C n'est pas l'unique language de programmation

[niuxe]

http://www.youtube.com/watch?feature...&v=M4a8bcobdeU

Je sais que mon commentaire va encore avoir des signes négatifs. Perso, je m'en moque royal.

[Null4Ever]

Citation:

Envoyé par niuxe

http://www.youtube.com/watch?feature...&v=M4a8bcobdeU

Je sais que mon commentaire va encore avoir des signes négatifs. Perso, je m'en moque royal.

En effet, très drôle!

+1

[Null4Ever]

Bonjour alex_vino,

Citation:

Envoyé par alex_vino

Tout comme le reste de ton message ca semble prétentieux et surtout fermé a toute discussion.

Mon message n'a strictement rien de prétentieux.

Il n'est que le reflet de mon opinion basée sur 35 ans d'expérience (assez réussie) dans le microcosme de l'informatique.

Citation:

Envoyé par alex_vino

Je ne sais pas qu'elle est ta définition du mot "Geek" mais je voudrais te répondre que le C n'est pas l'unique language de programmation

Ma définition du Geek vise les nombreux donneurs de leçons et/ou de conseils inutiles quand ils ne sont pas erronés que l'on côtoie dans de multiples fora (et pas seulement français) de soit disant entre aide.

Pour ce qui est du C, bien sur qu'il n'est pas le seul langage de programmation.

Néanmoins, il reste toujours le plus utilisé, le plus simple à apprendre et hormis l'assembleur reste surtout le plus efficace (quand on apprend à s'en servir correctement) et possède certainement avec le Cobol la plus grande librairie de codes sources disponibles.

Et il peut parfaitement prouver son efficacité même pour le développement de sites Web2 ou d'Applications Web Riches.

Par exemple, le trop peu connu serveur web G-WAN de la société Suisse Trustleap (www.gwan.ch) démontre le bien fondé de l'utilisation de ce "vieux" langage pour les développements web en fournissant en particulier un exemple AJAX d'une application de calcul d'amortissement d'un prêt proposée en pure ANSI C, mais aussi en Java et en PHP.

Sur une machine de type PC Serveur, CPU AMD FX 8150 8 cores @ 4.2 Mhz, RAM 32 Gb DDR3, HD SSD 240 Gb, OS Linux 10.04.4, les résultats sont plus que probants:

Montant du prêt : 10.000
Intérêt : 3.5 %
Durée : 1 an

loan.c -> 0.02 milliseconde
loan.php -> 0.46 milliseconde
loan.java -> 4.60 millisecondes

Conclusion: Même pour une application purement Web, C est 23 fois plus rapide que PHP et 230 fois plus rapide que Java.

Cela laisse quand même un peu rêveur, non ?

Maintenant et contrairement à votre argumentation sans fondement, toute discussion est ouverte, que ce soit au sujet du topic principal de ce thread que de ce petit écart à propos du C.

Just my 2 cents.

[kratoce]

Je pense qu'ils ne devraient pas vendre les failles trouvés, mais que c'est plutôt Microsoft qui devrait RÉCOMPENSER leur trouvaille selon la gravité de la faille. Si ils auraient fait ça tout de suite, la nouvelle n'aurai peut-être pas été aussi rependu...

[Hackoverflow]

A l"heure ou tout ou presque se paye ou se monétise, je ne vois pas ce qui peut choquer.

Ces grands groupes ont largement les moyens, avant la mise sur le marché et après d'assurer un suivi de ce genre de problèmes.

Ils devraient payer "naturellement" aux découvreurs les failles de leurs programmes.

[Nathanael Marchand]

On est a peu près au même niveau que cette dame là:
http://www.ouest-france.fr/actu/actu...57190_actu.Htm

[HawkFest]

D'un côté ça a du bon : il est vrai qu'il serait temps que Microsoft ou toute autre entreprise lucrative défraie les coûts de R&D pour ses produits en ce qui a trait à la sécurité, chose pourtant si importante! Mais là on ne parle que d'une pointe de l'iceberg, ce n'est pas là-dessus que compte le chiffre d'affaire de cette entreprise semble-t-il, de par son offre "au plus offrant", imposant ainsi la vulnérabilité à un paquet de gens victimes potentielles de sa clientèle "la plus offrante", et dont au final "Microstuff" se fiche bien (quand 'tas un quasi-monopole, c'est ainsi)...

Car outre le fait de vouloir passer pour un faux Robin des bois contre le méchant "Empire Microsoft", offrir au plus offrant les résultats de ses activités de hacking, c'est carrément apporter de l'eau au moulin des arnaqueurs et malhonnêtes de ce monde.

J'ai lu dans ce fil que c'est correct car on parle de "business"... Or ceux qui disent cela ne savent pas ce qu'est la différence entre de vrais hommes d'affaire et des mafieux, mais je crois que c'est générationnel quand on constate combien la bêtise ambiante alimentant de telles mentalités à gagné nos contrées, durant ces dernières décennies de néoconservatisme/néolibéralisme débridés...

C'est combien pour un banquier qui veut hacker les fichiers gouvernementaux? Pour un compétiteur qui veut hacker sa compétition? ...? Vive le règne des tricheurs? Faudrait en revenir un jour...

[HawkFest]

Citation:

Envoyé par Null4Ever

Et c'est aussi une question d'éthique, car personne d'autres ne les payent pour leur job.

Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.

En effet, ça a toujours été une question d'éthique que de ne pas engager de Hackers contre la compétition (ou contre une population/clientèle/citoyens etc., car au bout du compte ce sont NOUS et nos comptes-informations numériques-transactions qui faisons les frais des hackers et des entreprises mal protégées).

Maintenant, combien me chargeraient-ils pour ne pas divulguer mes failles au "Plus offrant"? Cette "business" en est une pour arnaqueurs et tricheurs, tenue par des maîtres-chanteurs se voulant "professionnels", et ce devrait être illégal dans sa forme actuelle (ce n'est pas parce qu'on a la possibilité de magouiller qu'il faut le faire, le "mes voisins le font alors moi aussi" est une mentalité de looser fataliste, une mentalité de lemmings, pas d'humains)!