Pour info, Heartbleed a forcé le gouvernement fédéral canadien a suspendre l'accès à tous ses services en ligne.
Pour info, Heartbleed a forcé le gouvernement fédéral canadien a suspendre l'accès à tous ses services en ligne.
enfin -50. Il vous en a fallu du temps
J'ai touche une corde sensible apparemment. Et pourtant les faits son la il n'y a même pas a discuter.
Petite vidéo explicative pour mieux comprendre cette faille (en Anglais) :
Less Is More
Pensez à utiliser les boutons , et les balises code
Desole pour l'absence d'accents, clavier US oblige
Celui qui pense qu'un professionnel coute cher n'a aucune idee de ce que peut lui couter un incompetent.
Pour répondre aux comparaisons stériles je dirais que...
J'ai du mal à comprendre, le doigt accusateur ne peut nier que lorsqu'on parle de Libre ou OpenSource, c'est qu'il est livré tel quel à l'instant T, de quelque chose qu'on peut utiliser, modifier, améliorer et redistribuer, et certainement pas comme une solution finale empaquetée et vendu à grands renforts de publicités.
Pour coller à l'actualité, tous les sites, serveurs etc. utilisent OpenSSL, j'aimerais juste savoir combien de ces utilisateurs ont apportés une contribution à l'OpenSSL Foundation pour encourager les développements et donc des améliorations? C'est connu la liberté n'a pas de prix mais elle a un coût.
Ce n'est qu'un exemple parmi tant d'autres, c'est gratuit et indolore pour le portefeuille mais dès qu'on est confronté à un problème on cherche à savoir si derrière il n'y aurait pas d'abord un coupable qu'on pourrait accuser et si possible gratuitement, puis on verra pour nos négligences après.
Pourtant ce n'était pas compliqué de répondre à cette alerte et faire le nécessaire pour la corriger, je parle de réactivité intra-muros, couper les serveurs non mis à jour, appliquer les maj d'OpenSSL, et renouveler les certificats par sécurité, je dirais que cela s'apparente à une maintenance de sécurité normalisé...
Il me semble avoir oublié une donnée fondamentale, ah oui! arrêter de faire l'autruche...
Si comme vous dite un logiciel livré n'est pas termine et peut contenir des bug et doit donc être maintenu. Alors ne venez plus critique ces mises a jour de logiciel propriétaire genre Windows. Critiquer les autres c'est facile mais quand ça vous arrive a vous c'est différent ? Ces mises a jour sont nécessaire et ne servent pas a corriger une erreur mais a faire évoluer/ameliore un programme (gratuit ou pas). Il faut toujours livrer plus vite c'est comme ça pour tous le monde c'est un phénomène de société.J'ai du mal à comprendre, le doigt accusateur ne peut nier que lorsqu'on parle de Libre ou OpenSource, c'est qu'il est livré tel quel à l'instant T, de quelque chose qu'on peut utiliser, modifier, améliorer et redistribuer, et certainement pas comme une solution finale empaquetée et vendu à grands renforts de publicités.
Ce genre de programme ca n'existe plus. Et certainement pas des OS. Il faut repartir sur un As/400 si c'est ca qui est important.une solution finale empaquetée
C'est pour ça qu'on paie. Pour qu'il y ai un responsable qui a tout intérêt a ce que ça fonctionne. Dans l'open source il n'y a pas de vraix responsable et c'est bien cela le problème. (en plus qu'il n'y a aucune garantie de moyen derrière)c'est gratuit et indolore pour le portefeuille mais dès qu'on est confronté à un problème on cherche à savoir si derrière il n'y aurait pas d'abord un coupable qu'on pourrait accuser
Donc le fait que c'est gratuit et qu'on n'a pas contribué excuse les erreurs. C'est fuir ses responsabilités ca. Mais comme dans l'OS il n'y a pas de responsables ...j'aimerais juste savoir combien de ces utilisateurs ont apportés une contribution à l'OpenSSL Foundation pour encourager les développements et donc des améliorations? C'est connu la liberté n'a pas de prix mais elle a un coût.
Et c'est pas parce qu'il y a quelqu'un qui n'est pas de votre avis et qui le dit que c'est un débat steril. J'ai reçu plusieurs messages prive ici sur ce forum me disant que beaucoup étaient d'accord avec moi mais qu'il ne disait rien car c'est apparemment un sujet sensible ici.
Je ne sais pas a quoi ça sert ces fameux points qu'on reçoit sur ce forum mais il semble que beaucoup veulent les garder en n 'intervenant pas dans la discussion. On leur aurait même demande de ne plus réagir je trouve ça personnellement dommage.
Payer le prix d'un programme sous licence ne donne aucun droit, seulement de l'utiliser et le bon vouloir de l'éditeur, c'est d'ailleurs ce qui se présente avec l'arrêt de XP, contraints que tu le veuilles ou non, de passer à une version supérieure, et ce n'est pas pour autant que M$ laisse les sources d'XP disponibles pour ceux qui préfèrent ne pas migrer...
Libre ou OpenSource veut dire possibilité d'intervenir à la source toi qui utilises ce programme. si tu ne te fie pas à ce programme libre à toi de l'oublier et de passer ton chemin.
Les sources Libres ou Open n'ont pas de contrat de garantie (M$ non plus me semble-t-il), tout ce qu'un programme Libre ou Open peut garantir c'est que les sources restent disponibles dans les mêmes conditions d'usage.
On ne va pas répéter ce qui a déjà été dit. L'important étant d'avoir le dernier mot apparemment. C'est beau de se rassurer qu'on ne paie pas pour rien. MS, Apple et consorts ont encore de beaux jours devant eux.
Le coup de la majorité silencieuse ! On l'entend à longueur de journée, à tel point qu'elle porte mal son nom, mais s'il faut en plus se taper ce genre d'inepties sur ce forum on ne peut plus amical : excellent !
Et maintenant le complot ! Que les modérateurs ne modèrent pas, il va passer pour un martyr.
Mais s'ils ont peur des points, cela les juge plus que cela te pose en porte-parole.
Je n'essayai pas de vous convaincre. Loin de la. Mais de vous confronter a la realitée des faits pour voir quels excuses vous trouverez. C'est fait. Et j'ai pu voir quels arguments vous faite valoir. Ca m'aidera dans mon travail .
Et on le sait tous c'est jamais noir ou blanc c'est toujours gris.
Bon dimanche a vous tous.
je ne vais pas intervenir sur le fond, vu le vide abyssal habituel mais plutôt sur ça :
et? peut être qu'une fois de plus ce système est débile et ne reflète pas le coté d'accord ou pas d'un message.Envoyé par Neckara
de plus ce thread a plus de 1500 vues, 4-5 personnes qui postent et 4-5 votes (ce qui fait un bon gros 0.3% si je ne me suis pas viandé dans les calculs), j'ai envie de dire c'est la même chose que les pseudos sondages sur N responsables informatiques, ça n'a aucune valeur, tout comme les votes ici pour conclure (et c'est vérifiable un peu partout sur ce forum).
pas la peine d'essayer d'en faire un jugement de valeur, on est pas dans une discussion technique ici (en tout cas entre ça et le fait de dire que quelqu'un n'y connait rien, on a le bon duo de choc).
ps: hey les moinseurs, elles sont où vos réponses? parce que à part me donner du crédit, vous faites pas quelque chose de constructif, comme d'habitude en gros
Je trouve que ça résume bien le probleme : http://www.hanselman.com/blog/OpenSo...oItAnyway.aspx
HeartBleed, l’une des pires failles de sécurité d’Internet ?
Entre théorie du complot, paranoïa et angoisse, le monde l’IT tremble
Le monde de l’IT tremble suite à la découverte de la faille HeartBleed sous OpenSSL. Différentes déclarations et réactions ont vu le jour récemment. Tour d’horizon :
Des conspirationnistes accusent l’auteur du bug de l’avoir introduit de manière délibérée
Le développeur logiciel allemand Robin Seggelmann, qui est l’auteur du bug HeartBleed, s’est vite retrouvé sous les feux des projecteurs. En effet, plusieurs théories du complot ont circulé récemment, l’accusant d’avoir introduit délibérément le bug.
De son côté, l’allemand explique simplement que le bug était présent dans la branche de développement, puis il est passé outre les mailles du système de validation, c’est pour cela qu’il est présent dans la version publiée.
En outre, il reconnait que ce petit bug a un impact important sur la sécurité d’OpenSSL. Toutefois, pour lui, les théories du complot visant sa personne n’ont pas lieu d’être. « Ce n’était pas délibéré, de plus j’ai corrigé plusieurs bugs sous OpenSSL par le passé, je ne tentais donc que de contribuer au projet », se justifie Seggelmann.
Enfin, il estime que ce bug a peut-être été utilisé par des agences gouvernementales, car face à ce genre de situation, il faut envisager le pire des scénarios. Il appelle donc à plus de vigilance et surtout à plus de contributions au projet open source pour détecter préalablement des bugs.
Les serveurs sont les seuls à être affectés ? Oh que non !
Alors que les professionnels de l’IT s’agitent et évoquent l’impact de ce bug sur les serveurs, il est important de ne pas oublier qu'il affecte également les utilisateurs sur leurs différents appareils (smartphones, PC, ordinateurs portables, routeurs domestiques, etc.). Ainsi, des attaquants peuvent facilement récupérer des informations sensibles à partir de ces appareils, telles que mots de passe et informations bancaires.
Un expert en sécurité déplore cette situation et surtout le manque de communication des équipementiers avec leurs clients qui sont exposés, ce qui n’est pas le cas de Google. Le géant de Mountain View a fixé CloudSQL et prépare une mise à jour de Google Search Appliance. Seul Android 4.1.1 serait exposé du côté de l’OS mobile.
L’horreur et la paranoïa s’emparent des experts en sécurité, au moment où un script pour Metasploit est publié
Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».
D’ailleurs, certains d’entre eux recommandent de se déconnecter temporairement du réseau Internet, craignant d’éventuelles attaques exploitant la faille, comme celles basées sur le script ruby qui s’exécute sous Metasploit.
Autre argument qui peut expliquer cette paranoïa : le bug affecte pas moins de 500.000 serveurs, soit 17,5 % des sites web de confiance, de quoi laisser du pain sur la planche jusqu’en 2020 pour les tests de pénétration en sécurité.
Enfin, un outil a été mis à la disposition des utilisateurs pour vérifier si leurs services préférés en ligne sont touchés.
Sources : The Sydney Morning Herald , Google Online Security , Netcraft.com
Et vous ?
Qu’en pensez-vous ?
Pour ce qui est de la "réactivité" la faille en question date d'il y a ... deux ans! Donc si pendant les deux dernières années ton compte en banque n'a pas été vidé, tu peux bien attendre encore un peu avant de changer de mot de passe...
Un article à ce propos en cliquant ici...
Combien d'autres failles?
Bonjour,
Tes sources disent pourtant :
Donc à partir de la découverte de la faille à sa correction, tout a été très réactif.Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.
Pendant 2 ans, le bug existait, mais la plupart des gens l'ignoraient. A partir du moment où tout le monde connait l'existence du bug, sa nature, et la facilité avec laquelle il peut être exploité, combien de temps crois-tu que les script kiddies vont attendre pour s'attaquer aux serveurs encore vulnérables ?
Pas de questions techniques par MP ! Le forum est là pour ça...
Tutoriels : Les nouveautés de C# 6 - Accès aux données avec Dapper - Extraction de données de pages web à l'aide de HTML Agility Pack - La sérialisation XML avec .NET (Aller plus loin) - Les markup extensions en WPF
merci pour l'article, qui n'est pas rassurant mais réaliste...
Pour une info sur la faille et les recommandations d'action, il y a http://www.heartbleed.fr en français, qui reprend les infos d'Heartbleed.com, mashable, etc.
Ce lien évoque le principe de reverse heartbleed. Rapidement, il s'agit de créer un serveur SSL malicieux qui envoie une requête heartbeat à un client pour récupérer 64 kB de sa mémoire.
On peut y trouver un lien vers un outils python permettant de tester les clients ( navigateur ,curl, wget .... )
Qu'est ce que Xamarin a à voir avec Apple?
Oui pour compiler un soft iPhone/Pad ou Mac OSX il faut un mac et pour un programme Windows il faut un ... Windows
Visual Studio n'est que sur Windows et Xcode que sur Mac, eh?
Pas de problème, pour l'instant !Envoyé par GTSLASH
Et Chrome ne devait-il pas passer à OpenSSL?
Ouais, il y a du en avoir des failles pire que celle la mais dont on n'a jamais entendu parler. Par contre le point essentiel c'est le nombre extrêmement grand des logiciels impactés : clairement tous les acteurs Microsoft, Apple, Google, Oracle, ... devraient auditer ce genre de code sensible qu'ils utilisent de plus où moins près.
c'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.
non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?
tu vois ou je veux en venir...? remise en question... tout ça...
tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...
C'est pas joli joli.Qu’en pensez-vous ?
La conspiration face au concept: "c'est open source donc c'est plus sûr car revu par beaucoup de contributeurs" laisse songeur.(Ce qui est sur, c'est ce c'est injuste de mettre ca sur le dos de la communauté, cf. licence)
Après il y a plein de failles découvertes tout les jours, plus au moins sérieuses (les applets java en ont pris pour leur grade il y a pas si longtemps). Alors ok celle la est particulièrement croustillante ! Il va falloir que les professionnels réagissent vite pour limiter la casse.
Ce qui me parait sage? couper les serveurs le temps de patcher, mais c'est évidement délicat, malgré le fait que plus l'application est critique, plus les risque d'être ciblé sont grand.
Dans le croustillant il y a ca aussi : http://thehackernews.com/2014/04/Oba...y-Exploit.html
Mais pour répondre a la question : "HeartBleed, l’une des pires failles de sécurité d’Internet ?"
Je pense que non. pour moi, la pire faille, c'est celle qui est exploitée et qu'on ne connais pas. C'était peut être HeartBleed les deux dernières années mais ca ne l'est plus.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager