IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Faille Heartbleed - OpenSSL

  1. #61
    Membre éprouvé
    Homme Profil pro
    R&D imagerie 3D / prog embarquée
    Inscrit en
    Mars 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : R&D imagerie 3D / prog embarquée
    Secteur : Santé

    Informations forums :
    Inscription : Mars 2007
    Messages : 417
    Points : 1 247
    Points
    1 247
    Par défaut
    Pour info, Heartbleed a forcé le gouvernement fédéral canadien a suspendre l'accès à tous ses services en ligne.

  2. #62
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    enfin -50. Il vous en a fallu du temps

    J'ai touche une corde sensible apparemment. Et pourtant les faits son la il n'y a même pas a discuter.

  3. #63
    Modérateur
    Avatar de DotNetMatt
    Homme Profil pro
    CTO
    Inscrit en
    Février 2010
    Messages
    3 611
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : CTO
    Secteur : Finance

    Informations forums :
    Inscription : Février 2010
    Messages : 3 611
    Points : 9 743
    Points
    9 743
    Billets dans le blog
    3
    Par défaut
    Petite vidéo explicative pour mieux comprendre cette faille (en Anglais) :
    Less Is More
    Pensez à utiliser les boutons , et les balises code
    Desole pour l'absence d'accents, clavier US oblige
    Celui qui pense qu'un professionnel coute cher n'a aucune idee de ce que peut lui couter un incompetent.

  4. #64
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    Août 2012
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2012
    Messages : 374
    Points : 1 173
    Points
    1 173
    Par défaut
    Pour répondre aux comparaisons stériles je dirais que...

    J'ai du mal à comprendre, le doigt accusateur ne peut nier que lorsqu'on parle de Libre ou OpenSource, c'est qu'il est livré tel quel à l'instant T, de quelque chose qu'on peut utiliser, modifier, améliorer et redistribuer, et certainement pas comme une solution finale empaquetée et vendu à grands renforts de publicités.

    Pour coller à l'actualité, tous les sites, serveurs etc. utilisent OpenSSL, j'aimerais juste savoir combien de ces utilisateurs ont apportés une contribution à l'OpenSSL Foundation pour encourager les développements et donc des améliorations? C'est connu la liberté n'a pas de prix mais elle a un coût.

    Ce n'est qu'un exemple parmi tant d'autres, c'est gratuit et indolore pour le portefeuille mais dès qu'on est confronté à un problème on cherche à savoir si derrière il n'y aurait pas d'abord un coupable qu'on pourrait accuser et si possible gratuitement, puis on verra pour nos négligences après.

    Pourtant ce n'était pas compliqué de répondre à cette alerte et faire le nécessaire pour la corriger, je parle de réactivité intra-muros, couper les serveurs non mis à jour, appliquer les maj d'OpenSSL, et renouveler les certificats par sécurité, je dirais que cela s'apparente à une maintenance de sécurité normalisé...

    Il me semble avoir oublié une donnée fondamentale, ah oui! arrêter de faire l'autruche...

  5. #65
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    J'ai du mal à comprendre, le doigt accusateur ne peut nier que lorsqu'on parle de Libre ou OpenSource, c'est qu'il est livré tel quel à l'instant T, de quelque chose qu'on peut utiliser, modifier, améliorer et redistribuer, et certainement pas comme une solution finale empaquetée et vendu à grands renforts de publicités.
    Si comme vous dite un logiciel livré n'est pas termine et peut contenir des bug et doit donc être maintenu. Alors ne venez plus critique ces mises a jour de logiciel propriétaire genre Windows. Critiquer les autres c'est facile mais quand ça vous arrive a vous c'est différent ? Ces mises a jour sont nécessaire et ne servent pas a corriger une erreur mais a faire évoluer/ameliore un programme (gratuit ou pas). Il faut toujours livrer plus vite c'est comme ça pour tous le monde c'est un phénomène de société.

    une solution finale empaquetée
    Ce genre de programme ca n'existe plus. Et certainement pas des OS. Il faut repartir sur un As/400 si c'est ca qui est important.

    c'est gratuit et indolore pour le portefeuille mais dès qu'on est confronté à un problème on cherche à savoir si derrière il n'y aurait pas d'abord un coupable qu'on pourrait accuser
    C'est pour ça qu'on paie. Pour qu'il y ai un responsable qui a tout intérêt a ce que ça fonctionne. Dans l'open source il n'y a pas de vraix responsable et c'est bien cela le problème. (en plus qu'il n'y a aucune garantie de moyen derrière)

    j'aimerais juste savoir combien de ces utilisateurs ont apportés une contribution à l'OpenSSL Foundation pour encourager les développements et donc des améliorations? C'est connu la liberté n'a pas de prix mais elle a un coût.
    Donc le fait que c'est gratuit et qu'on n'a pas contribué excuse les erreurs. C'est fuir ses responsabilités ca. Mais comme dans l'OS il n'y a pas de responsables ...

    Et c'est pas parce qu'il y a quelqu'un qui n'est pas de votre avis et qui le dit que c'est un débat steril. J'ai reçu plusieurs messages prive ici sur ce forum me disant que beaucoup étaient d'accord avec moi mais qu'il ne disait rien car c'est apparemment un sujet sensible ici.

    Je ne sais pas a quoi ça sert ces fameux points qu'on reçoit sur ce forum mais il semble que beaucoup veulent les garder en n 'intervenant pas dans la discussion. On leur aurait même demande de ne plus réagir je trouve ça personnellement dommage.

  6. #66
    Membre éprouvé Avatar de Algo D.DN
    Homme Profil pro
    WPM - Web Dev.
    Inscrit en
    Août 2012
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : WPM - Web Dev.
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2012
    Messages : 374
    Points : 1 173
    Points
    1 173
    Par défaut
    Payer le prix d'un programme sous licence ne donne aucun droit, seulement de l'utiliser et le bon vouloir de l'éditeur, c'est d'ailleurs ce qui se présente avec l'arrêt de XP, contraints que tu le veuilles ou non, de passer à une version supérieure, et ce n'est pas pour autant que M$ laisse les sources d'XP disponibles pour ceux qui préfèrent ne pas migrer...

    Libre ou OpenSource veut dire possibilité d'intervenir à la source toi qui utilises ce programme. si tu ne te fie pas à ce programme libre à toi de l'oublier et de passer ton chemin.

    Les sources Libres ou Open n'ont pas de contrat de garantie (M$ non plus me semble-t-il), tout ce qu'un programme Libre ou Open peut garantir c'est que les sources restent disponibles dans les mêmes conditions d'usage.

  7. #67
    Membre confirmé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    156
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Juillet 2007
    Messages : 156
    Points : 540
    Points
    540
    Par défaut
    Citation Envoyé par GTSLASH Voir le message
    C'est pour ça qu'on paie. Pour qu'il y ai un responsable qui a tout intérêt a ce que ça fonctionne. Dans l'open source il n'y a pas de vraix responsable et c'est bien cela le problème. (en plus qu'il n'y a aucune garantie de moyen derrière)
    On ne va pas répéter ce qui a déjà été dit. L'important étant d'avoir le dernier mot apparemment. C'est beau de se rassurer qu'on ne paie pas pour rien. MS, Apple et consorts ont encore de beaux jours devant eux.
    Citation Envoyé par GTSLASH Voir le message
    Et c'est pas parce qu'il y a quelqu'un qui n'est pas de votre avis et qui le dit que c'est un débat steril. J'ai reçu plusieurs messages prive ici sur ce forum me disant que beaucoup étaient d'accord avec moi mais qu'il ne disait rien car c'est apparemment un sujet sensible ici.
    Le coup de la majorité silencieuse ! On l'entend à longueur de journée, à tel point qu'elle porte mal son nom, mais s'il faut en plus se taper ce genre d'inepties sur ce forum on ne peut plus amical : excellent !
    Citation Envoyé par GTSLASH Voir le message
    Je ne sais pas a quoi ça sert ces fameux points qu'on reçoit sur ce forum mais il semble que beaucoup veulent les garder en n 'intervenant pas dans la discussion. On leur aurait même demande de ne plus réagir je trouve ça personnellement dommage.
    Et maintenant le complot ! Que les modérateurs ne modèrent pas, il va passer pour un martyr.
    Mais s'ils ont peur des points, cela les juge plus que cela te pose en porte-parole.

  8. #68
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Bonjour,

    Citation Envoyé par GTSLASH Voir le message
    J'ai reçu plusieurs messages prive ici sur ce forum me disant que beaucoup étaient d'accord avec moi mais qu'il ne disait rien car c'est apparemment un sujet sensible ici.
    C'est tout de même bizarre que parmi ces personnes qui sont "d'accord avec toi", une seule vote positivement tes messages .

  9. #69
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Je n'essayai pas de vous convaincre. Loin de la. Mais de vous confronter a la realitée des faits pour voir quels excuses vous trouverez. C'est fait. Et j'ai pu voir quels arguments vous faite valoir. Ca m'aidera dans mon travail .

    Et on le sait tous c'est jamais noir ou blanc c'est toujours gris.

    Bon dimanche a vous tous.

  10. #70
    Expert confirmé

    Profil pro
    Inscrit en
    Février 2006
    Messages
    2 376
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 2 376
    Points : 4 928
    Points
    4 928
    Par défaut
    je ne vais pas intervenir sur le fond, vu le vide abyssal habituel mais plutôt sur ça :

    Citation Envoyé par Neckara
    C'est tout de même bizarre que parmi ces personnes qui sont "d'accord avec toi", une seule vote positivement tes messages
    et? peut être qu'une fois de plus ce système est débile et ne reflète pas le coté d'accord ou pas d'un message.
    de plus ce thread a plus de 1500 vues, 4-5 personnes qui postent et 4-5 votes (ce qui fait un bon gros 0.3% si je ne me suis pas viandé dans les calculs), j'ai envie de dire c'est la même chose que les pseudos sondages sur N responsables informatiques, ça n'a aucune valeur, tout comme les votes ici pour conclure (et c'est vérifiable un peu partout sur ce forum).

    pas la peine d'essayer d'en faire un jugement de valeur, on est pas dans une discussion technique ici (en tout cas entre ça et le fait de dire que quelqu'un n'y connait rien, on a le bon duo de choc).

    ps: hey les moinseurs, elles sont où vos réponses? parce que à part me donner du crédit, vous faites pas quelque chose de constructif, comme d'habitude en gros

  11. #71
    Inactif  
    Profil pro
    Inscrit en
    Février 2007
    Messages
    411
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Février 2007
    Messages : 411
    Points : 0
    Points
    0
    Par défaut
    Je trouve que ça résume bien le probleme : http://www.hanselman.com/blog/OpenSo...oItAnyway.aspx

  12. #72
    Expert éminent sénior

    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2011
    Messages
    283
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Août 2011
    Messages : 283
    Points : 18 071
    Points
    18 071
    Par défaut
    HeartBleed, l’une des pires failles de sécurité d’Internet ?
    Entre théorie du complot, paranoïa et angoisse, le monde l’IT tremble

    Le monde de l’IT tremble suite à la découverte de la faille HeartBleed sous OpenSSL. Différentes déclarations et réactions ont vu le jour récemment. Tour d’horizon :

    Des conspirationnistes accusent l’auteur du bug de l’avoir introduit de manière délibérée

    Le développeur logiciel allemand Robin Seggelmann, qui est l’auteur du bug HeartBleed, s’est vite retrouvé sous les feux des projecteurs. En effet, plusieurs théories du complot ont circulé récemment, l’accusant d’avoir introduit délibérément le bug.

    De son côté, l’allemand explique simplement que le bug était présent dans la branche de développement, puis il est passé outre les mailles du système de validation, c’est pour cela qu’il est présent dans la version publiée.

    En outre, il reconnait que ce petit bug a un impact important sur la sécurité d’OpenSSL. Toutefois, pour lui, les théories du complot visant sa personne n’ont pas lieu d’être. « Ce n’était pas délibéré, de plus j’ai corrigé plusieurs bugs sous OpenSSL par le passé, je ne tentais donc que de contribuer au projet », se justifie Seggelmann.

    Enfin, il estime que ce bug a peut-être été utilisé par des agences gouvernementales, car face à ce genre de situation, il faut envisager le pire des scénarios. Il appelle donc à plus de vigilance et surtout à plus de contributions au projet open source pour détecter préalablement des bugs.

    Les serveurs sont les seuls à être affectés ? Oh que non !

    Alors que les professionnels de l’IT s’agitent et évoquent l’impact de ce bug sur les serveurs, il est important de ne pas oublier qu'il affecte également les utilisateurs sur leurs différents appareils (smartphones, PC, ordinateurs portables, routeurs domestiques, etc.). Ainsi, des attaquants peuvent facilement récupérer des informations sensibles à partir de ces appareils, telles que mots de passe et informations bancaires.

    Un expert en sécurité déplore cette situation et surtout le manque de communication des équipementiers avec leurs clients qui sont exposés, ce qui n’est pas le cas de Google. Le géant de Mountain View a fixé CloudSQL et prépare une mise à jour de Google Search Appliance. Seul Android 4.1.1 serait exposé du côté de l’OS mobile.

    L’horreur et la paranoïa s’emparent des experts en sécurité, au moment où un script pour Metasploit est publié

    Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».

    D’ailleurs, certains d’entre eux recommandent de se déconnecter temporairement du réseau Internet, craignant d’éventuelles attaques exploitant la faille, comme celles basées sur le script ruby qui s’exécute sous Metasploit.

    Autre argument qui peut expliquer cette paranoïa : le bug affecte pas moins de 500.000 serveurs, soit 17,5 % des sites web de confiance, de quoi laisser du pain sur la planche jusqu’en 2020 pour les tests de pénétration en sécurité.

    Enfin, un outil a été mis à la disposition des utilisateurs pour vérifier si leurs services préférés en ligne sont touchés.


    Sources : The Sydney Morning Herald , Google Online Security , Netcraft.com

    Et vous ?

    Qu’en pensez-vous ?

  13. #73
    Membre averti

    Homme Profil pro
    Étudiant
    Inscrit en
    Mars 2014
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : Belgique

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Arts - Culture

    Informations forums :
    Inscription : Mars 2014
    Messages : 13
    Points : 334
    Points
    334
    Billets dans le blog
    22
    Par défaut
    Pour ce qui est de la "réactivité" la faille en question date d'il y a ... deux ans! Donc si pendant les deux dernières années ton compte en banque n'a pas été vidé, tu peux bien attendre encore un peu avant de changer de mot de passe...

    Un article à ce propos en cliquant ici...

    Combien d'autres failles?

  14. #74
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Bonjour,

    Tes sources disent pourtant :

    Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
    Donc à partir de la découverte de la faille à sa correction, tout a été très réactif.

    Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.

  15. #75
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 749
    Points
    39 749
    Par défaut
    Citation Envoyé par Town Ground Voir le message
    Pour ce qui est de la "réactivité" la faille en question date d'il y a ... deux ans! Donc si pendant les deux dernières années ton compte en banque n'a pas été vidé, tu peux bien attendre encore un peu avant de changer de mot de passe...
    Pendant 2 ans, le bug existait, mais la plupart des gens l'ignoraient. A partir du moment où tout le monde connait l'existence du bug, sa nature, et la facilité avec laquelle il peut être exploité, combien de temps crois-tu que les script kiddies vont attendre pour s'attaquer aux serveurs encore vulnérables ?

  16. #76
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    Janvier 2013
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Espagne

    Informations professionnelles :
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2013
    Messages : 4
    Points : 6
    Points
    6
    Par défaut info en français sur la faille
    merci pour l'article, qui n'est pas rassurant mais réaliste...
    Pour une info sur la faille et les recommandations d'action, il y a http://www.heartbleed.fr en français, qui reprend les infos d'Heartbleed.com, mashable, etc.

  17. #77
    Membre actif
    Inscrit en
    Décembre 2005
    Messages
    251
    Détails du profil
    Informations forums :
    Inscription : Décembre 2005
    Messages : 251
    Points : 267
    Points
    267
    Par défaut
    Ce lien évoque le principe de reverse heartbleed. Rapidement, il s'agit de créer un serveur SSL malicieux qui envoie une requête heartbeat à un client pour récupérer 64 kB de sa mémoire.

    On peut y trouver un lien vers un outils python permettant de tester les clients ( navigateur ,curl, wget .... )

  18. #78
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par GTSLASH Voir le message
    Je trouve aussi que Microsoft fournis de tres bon outils (Visual Studio) et qu'il sont bien a l’écoute des développeurs. Leurs outils apporte vraiment un plus et fais gagner du temps
    Mac : Jamais utiliser trop cher je sais pas juger. Et j'aurais vraiment l'impression de me faire arnaquer si j'utilisai ça. j'ai teste Xamarin mais Apple ferme vraiment tous. Si j'ai bien compris il faut absolument un Mac pour compiler. Faut pas exagérer. C'est des voleurs tous simplement.
    Qu'est ce que Xamarin a à voir avec Apple?

    Oui pour compiler un soft iPhone/Pad ou Mac OSX il faut un mac et pour un programme Windows il faut un ... Windows
    Visual Studio n'est que sur Windows et Xcode que sur Mac, eh?

    Citation Envoyé par GTSLASH
    Google : J'utilise AngularJS que je trouve TRÈS TRÈS bien fait. Jamais eu de problème non plus. J'utilise Chrome sans problèmes
    Pas de problème, pour l'instant !
    Et Chrome ne devait-il pas passer à OpenSSL?

    Citation Envoyé par Arsene Newman Voir le message
    Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».
    Ouais, il y a du en avoir des failles pire que celle la mais dont on n'a jamais entendu parler. Par contre le point essentiel c'est le nombre extrêmement grand des logiciels impactés : clairement tous les acteurs Microsoft, Apple, Google, Oracle, ... devraient auditer ce genre de code sensible qu'ils utilisent de plus où moins près.

  19. #79
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2010
    Messages
    553
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2010
    Messages : 553
    Points : 2 740
    Points
    2 740
    Par défaut
    Citation Envoyé par GTSLASH Voir le message
    enfin -50. Il vous en a fallu du temps

    J'ai touche une corde sensible apparemment. Et pourtant les faits son la il n'y a même pas a discuter.
    c'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.

    non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?

    tu vois ou je veux en venir...? remise en question... tout ça...


    tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
    j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
    je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
    j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...

  20. #80
    Membre éprouvé

    Homme Profil pro
    Ingénieur logiciel embarqué
    Inscrit en
    Juillet 2002
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2002
    Messages : 386
    Points : 1 164
    Points
    1 164
    Par défaut
    Qu’en pensez-vous ?
    C'est pas joli joli.
    La conspiration face au concept: "c'est open source donc c'est plus sûr car revu par beaucoup de contributeurs" laisse songeur.(Ce qui est sur, c'est ce c'est injuste de mettre ca sur le dos de la communauté, cf. licence)
    Après il y a plein de failles découvertes tout les jours, plus au moins sérieuses (les applets java en ont pris pour leur grade il y a pas si longtemps). Alors ok celle la est particulièrement croustillante ! Il va falloir que les professionnels réagissent vite pour limiter la casse.
    Ce qui me parait sage? couper les serveurs le temps de patcher, mais c'est évidement délicat, malgré le fait que plus l'application est critique, plus les risque d'être ciblé sont grand.
    Dans le croustillant il y a ca aussi : http://thehackernews.com/2014/04/Oba...y-Exploit.html

    Mais pour répondre a la question : "HeartBleed, l’une des pires failles de sécurité d’Internet ?"
    Je pense que non. pour moi, la pire faille, c'est celle qui est exploitée et qu'on ne connais pas. C'était peut être HeartBleed les deux dernières années mais ca ne l'est plus.

Discussions similaires

  1. Réponses: 12
    Dernier message: 17/05/2014, 10h09
  2. Réponses: 4
    Dernier message: 27/04/2014, 00h01
  3. Réponses: 4
    Dernier message: 27/04/2014, 00h01
  4. Réponses: 2
    Dernier message: 18/04/2014, 10h12
  5. Réponses: 3
    Dernier message: 12/04/2014, 16h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo