IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Vupen content que des chercheurs de failles ne les livrent pas à des éditeurs « multi-milliardaires »


Sujet :

Sécurité

  1. #81
    Membre actif Avatar de DrHelmut
    Homme Profil pro
    Software craftsman - JS, Java...
    Inscrit en
    Octobre 2005
    Messages
    112
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Software craftsman - JS, Java...
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2005
    Messages : 112
    Points : 215
    Points
    215
    Par défaut
    Je rejoins le point de vue du pdg de Vulpen : microsoft, comme beaucoup de gros éditeurs, sors des produits méchament bugués et voudrait bénéficier de l'aide gratuite d'une communauté de gens en matière de sécurité ?

    Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !

    Dans ma boite actuelle, nous sommes supposés être "intégrateurs" de solution IBM, et dans les faits, ils faut que nous payions pour des formations sur site que l'on pourrait faire avec des VM, en ligne... et concrètement nous beta-testosn leurs produits ! Entre la doc du commercial qui dit que le truc fait le café et la réalité ou tu obtiens des erreurs hallucinantes "out of the box" il y a un gouffre énorme... et le pire c'est qu'IBM ne veut pas qu'on leur fasse de report de bug sans un client pour porter le cout de sa correction !

    Pour Microsoft, je ne sais pas s'ils mettent les moyens dans leurs tests, mis je n'en ai pas l'impression... Chez IBM, c'est sur, c'est codé avec les pieds et testé avec des singes...


    Pour en revenir au topic, vouloir offrir l'analyse des vulnérabilités au plus offrant me parait tout à fait immoral, voire illégal... étrange qu'ils proposent cela...

  2. #82
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2011
    Messages
    83
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2011
    Messages : 83
    Points : 72
    Points
    72
    Par défaut
    +1 Unix / Unix like.

    Il y a moins bien mais c'est plus cher

  3. #83
    Candidat au Club
    Homme Profil pro
    Editeur de logiciels retraité.
    Inscrit en
    Mai 2012
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Editeur de logiciels retraité.
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2012
    Messages : 13
    Points : 4
    Points
    4
    Par défaut
    Citation Envoyé par DrHelmut Voir le message
    Mais.. M. Microsoft.. il fallait faire de l'open source pour cela !
    Aujourd'hui, le problème majeur vient du fait que nombre de gens estiment que l'Open Source signifie automatiquement GRATUIT!

    Si développer des solutions intéressantes en Open Source tout en protégeant ses concepteurs/développeurs qui peuvent avoir envie et/ou besoin de vendre leurs codes pour en obtenir une juste rémunération afin de pouvoir ne serait-ce qu'en vivre, je suis tout à fait d'accord avec vous.

    D'autres, développant par hobby ou passe-temps peuvent tout aussi bien donner un accès complet à leur travaux sans besoin de retour financier (Free Open Source).

    Cependant, si vous êtes dans la première catégorie (ceux qui veulent développer de l'Open Source et ont besoin d'en tirer quand même un minimum de revenus), comment les protégez-vous d'un quelconque "GEANT" de l'industrie du logiciel qui vous pique votre travail sans vous rémunérer ?

    Ce n'est pas avec vos "Copyright" que vous serez en mesure d'affronter financièrement pendant 10 ans les cohortes de "lawyers" de ces compagnies.

    Been there, done that !

    La solution s'appelle alors le Freeware mais "closed source" !

    Il y a plein d'exemples de ce type, mais malheureusement, dans le microcosme Linux, cela n'est pas apprécié (les geeks appellent ces logiciels des solutions "propriétaires", même si elles sont compatibles avec plein de choses et aussi gratuites) !

    Les "geeks" veulent tout, tout de suite et surtout gratuitement, même si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutôt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C.

    De là à espérer leur demander une aide à un quelconque "déverminage"... j'en rigole tous les jours !

    Donc pour ne revenir au topic de ce thread, OUI Vulpen a raison de ne pas vouloir divulguer son travail gracieusement.

    Et c'est aussi une question d'éthique, car personne d'autres ne les payent pour leur job.

    Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.

    Maintenant, après, ne venez pas dire que vous n'avez pas été "gracieusement" prévenus !

    Pour ceux qui ne sont pas définitivement convaincus de l'intérêt pour certains du "Freeware Closed Source", alors qu'ils commencent eux-même à jeter la première pierre autrement que par des contributions bidons en java, php, perl ou autre dans les multiples fora de geeks, solutions basiques et souvent bien bogués et peu documentées que tout le monde peut faire avec un tout petit peu de minimum d'expérience.

    Just my 2 cents.

  4. #84
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Les "geeks" veulent tout, tout de suite et surtout gratuitement, même si 999.99 pour 1000 (et encore je suis gentil car le ratio serait plutôt de 1 pour 1.000.000.000.000.000.000.000.000) d'entre eux sont strictement incapables de lire et de comprendre la moindre ligne de C
    Tout comme le reste de ton message ca semble prétentieux et surtout fermé a toute discussion.
    Je ne sais pas qu'elle est ta définition du mot "Geek" mais je voudrais te répondre que le C n'est pas l'unique language de programmation

  5. #85
    Membre régulier
    Profil pro
    Inscrit en
    Mars 2011
    Messages
    83
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2011
    Messages : 83
    Points : 72
    Points
    72
    Par défaut
    http://www.youtube.com/watch?feature...&v=M4a8bcobdeU

    Je sais que mon commentaire va encore avoir des signes négatifs. Perso, je m'en moque royal.

  6. #86
    Candidat au Club
    Homme Profil pro
    Editeur de logiciels retraité.
    Inscrit en
    Mai 2012
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Editeur de logiciels retraité.
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2012
    Messages : 13
    Points : 4
    Points
    4
    Par défaut
    Citation Envoyé par niuxe Voir le message
    http://www.youtube.com/watch?feature...&v=M4a8bcobdeU

    Je sais que mon commentaire va encore avoir des signes négatifs. Perso, je m'en moque royal.
    En effet, très drôle!

    +1

  7. #87
    Candidat au Club
    Homme Profil pro
    Editeur de logiciels retraité.
    Inscrit en
    Mai 2012
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Editeur de logiciels retraité.
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2012
    Messages : 13
    Points : 4
    Points
    4
    Par défaut
    Bonjour alex_vino,

    Citation Envoyé par alex_vino Voir le message
    Tout comme le reste de ton message ca semble prétentieux et surtout fermé a toute discussion.
    Mon message n'a strictement rien de prétentieux.

    Il n'est que le reflet de mon opinion basée sur 35 ans d'expérience (assez réussie) dans le microcosme de l'informatique.

    Citation Envoyé par alex_vino Voir le message
    Je ne sais pas qu'elle est ta définition du mot "Geek" mais je voudrais te répondre que le C n'est pas l'unique language de programmation
    Ma définition du Geek vise les nombreux donneurs de leçons et/ou de conseils inutiles quand ils ne sont pas erronés que l'on côtoie dans de multiples fora (et pas seulement français) de soit disant entre aide.

    Pour ce qui est du C, bien sur qu'il n'est pas le seul langage de programmation.

    Néanmoins, il reste toujours le plus utilisé, le plus simple à apprendre et hormis l'assembleur reste surtout le plus efficace (quand on apprend à s'en servir correctement) et possède certainement avec le Cobol la plus grande librairie de codes sources disponibles.

    Et il peut parfaitement prouver son efficacité même pour le développement de sites Web2 ou d'Applications Web Riches.

    Par exemple, le trop peu connu serveur web G-WAN de la société Suisse Trustleap (www.gwan.ch) démontre le bien fondé de l'utilisation de ce "vieux" langage pour les développements web en fournissant en particulier un exemple AJAX d'une application de calcul d'amortissement d'un prêt proposée en pure ANSI C, mais aussi en Java et en PHP.

    Sur une machine de type PC Serveur, CPU AMD FX 8150 8 cores @ 4.2 Mhz, RAM 32 Gb DDR3, HD SSD 240 Gb, OS Linux 10.04.4, les résultats sont plus que probants:

    Montant du prêt : 10.000
    Intérêt : 3.5 %
    Durée : 1 an

    loan.c -> 0.02 milliseconde
    loan.php -> 0.46 milliseconde
    loan.java -> 4.60 millisecondes

    Conclusion: Même pour une application purement Web, C est 23 fois plus rapide que PHP et 230 fois plus rapide que Java.

    Cela laisse quand même un peu rêveur, non ?

    Maintenant et contrairement à votre argumentation sans fondement, toute discussion est ouverte, que ce soit au sujet du topic principal de ce thread que de ce petit écart à propos du C.

    Just my 2 cents.

  8. #88
    Membre actif Avatar de kratoce
    Homme Profil pro
    Apprenti
    Inscrit en
    Octobre 2012
    Messages
    270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Apprenti

    Informations forums :
    Inscription : Octobre 2012
    Messages : 270
    Points : 238
    Points
    238
    Par défaut
    Je pense qu'ils ne devraient pas vendre les failles trouvés, mais que c'est plutôt Microsoft qui devrait RÉCOMPENSER leur trouvaille selon la gravité de la faille. Si ils auraient fait ça tout de suite, la nouvelle n'aurai peut-être pas été aussi rependu...
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  9. #89
    Nouveau Candidat au Club
    Homme Profil pro
    Cyberdocumentaliste
    Inscrit en
    Janvier 2013
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Cyberdocumentaliste
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Janvier 2013
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    A l"heure ou tout ou presque se paye ou se monétise, je ne vois pas ce qui peut choquer.

    Ces grands groupes ont largement les moyens, avant la mise sur le marché et après d'assurer un suivi de ce genre de problèmes.

    Ils devraient payer "naturellement" aux découvreurs les failles de leurs programmes.

  10. #90
    Rédacteur
    Avatar de Nathanael Marchand
    Homme Profil pro
    Expert .Net So@t
    Inscrit en
    Octobre 2008
    Messages
    3 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert .Net So@t
    Secteur : Conseil

    Informations forums :
    Inscription : Octobre 2008
    Messages : 3 615
    Points : 8 080
    Points
    8 080
    Par défaut
    On est a peu près au même niveau que cette dame là:
    http://www.ouest-france.fr/actu/actu...57190_actu.Htm

  11. #91
    Candidat au Club
    Homme Profil pro
    COmmerce électronique
    Inscrit en
    Avril 2013
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : COmmerce électronique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2013
    Messages : 2
    Points : 3
    Points
    3
    Par défaut Légalisation du hacking en France?
    D'un côté ça a du bon : il est vrai qu'il serait temps que Microsoft ou toute autre entreprise lucrative défraie les coûts de R&D pour ses produits en ce qui a trait à la sécurité, chose pourtant si importante! Mais là on ne parle que d'une pointe de l'iceberg, ce n'est pas là-dessus que compte le chiffre d'affaire de cette entreprise semble-t-il, de par son offre "au plus offrant", imposant ainsi la vulnérabilité à un paquet de gens victimes potentielles de sa clientèle "la plus offrante", et dont au final "Microstuff" se fiche bien (quand 'tas un quasi-monopole, c'est ainsi)...

    Car outre le fait de vouloir passer pour un faux Robin des bois contre le méchant "Empire Microsoft", offrir au plus offrant les résultats de ses activités de hacking, c'est carrément apporter de l'eau au moulin des arnaqueurs et malhonnêtes de ce monde.

    J'ai lu dans ce fil que c'est correct car on parle de "business"... Or ceux qui disent cela ne savent pas ce qu'est la différence entre de vrais hommes d'affaire et des mafieux, mais je crois que c'est générationnel quand on constate combien la bêtise ambiante alimentant de telles mentalités à gagné nos contrées, durant ces dernières décennies de néoconservatisme/néolibéralisme débridés...

    C'est combien pour un banquier qui veut hacker les fichiers gouvernementaux? Pour un compétiteur qui veut hacker sa compétition? ...? Vive le règne des tricheurs? Faudrait en revenir un jour...

  12. #92
    Candidat au Club
    Homme Profil pro
    COmmerce électronique
    Inscrit en
    Avril 2013
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : COmmerce électronique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2013
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    Citation Envoyé par Null4Ever Voir le message
    Et c'est aussi une question d'éthique, car personne d'autres ne les payent pour leur job.

    Si vous n'en voulez pas ou n'en avez pas besoin, alors passer votre chemin sans rien dire.
    En effet, ça a toujours été une question d'éthique que de ne pas engager de Hackers contre la compétition (ou contre une population/clientèle/citoyens etc., car au bout du compte ce sont NOUS et nos comptes-informations numériques-transactions qui faisons les frais des hackers et des entreprises mal protégées).

    Maintenant, combien me chargeraient-ils pour ne pas divulguer mes failles au "Plus offrant"? Cette "business" en est une pour arnaqueurs et tricheurs, tenue par des maîtres-chanteurs se voulant "professionnels", et ce devrait être illégal dans sa forme actuelle (ce n'est pas parce qu'on a la possibilité de magouiller qu'il faut le faire, le "mes voisins le font alors moi aussi" est une mentalité de looser fataliste, une mentalité de lemmings, pas d'humains)!

Discussions similaires

  1. Réponses: 7
    Dernier message: 22/08/2011, 15h16
  2. Réponses: 0
    Dernier message: 11/08/2011, 23h52
  3. Réponses: 14
    Dernier message: 12/03/2011, 20h15
  4. Réponses: 3
    Dernier message: 05/08/2008, 10h51
  5. Réponses: 1
    Dernier message: 05/06/2007, 12h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo