Discussion :

[Heptaeon]

C'est drole de voir 2 politiques complètement opposées.

Microsoft :
- Ouvre son code source au Gouvernement.
- Passe de plus en plus de produit en Open source.
- Favorise le feedback de ses clients (Insider etc).

Oracle :
- Vous n'avez pas le droit de regarder ce qu'on fait.

Avec des histoire comme PRISM, ou celle de la NSA qui ne veux pas qu'on crypte nos données, je ne suis pas certain que c'était la bonne réponse.
Grossière erreure de com qui serait p-e passé il y a 10 ou 15ans, mais là ouille.

[tchize_]

Je suis le seul a avoir compris de la news que ce qui l'emmerde c'est les gens qui décompilent pour ensuite faire une analyse statistique automatique aveugle et rapporter le même bug potentiel que 50.000 autres clients et qui n'en est pas un?

[Uther]

Si, je l'ai noté aussi aussi et sur ce point je suis tout a fait d'accord : faire un rapport de vulnérabilité basé uniquement sur des outils d'analyse automatique est en effet une idiotie.
Mais ca n'excuse pas la réaction finale qui est tout simplement une menace d'action judiciaire envers toutes les personnes qui se questionnent sur la sécurité d'Oracle et pas seulement ceux qui font des rapports de vulnérabilité foireux.

[Gugelhupf]

Cette dame est une "product marketing manager" qui n'a surement jamais touchée une seule ligne de code, c'est peut-être pour ça qu'on a un tel discours.
Autrement elle a des responsabilités liés à ce que ses équipes font et leur métier c'est la sécurité. Maintenant si des gens (aussi bien intentionné qu'ils soient) commencent à publier des vulnérabilités, c'est elle qui sera impacté en première, parce qu'il sera considéré qu'elle n'aura pas assez bien managé ses équipes pour trouver ces failles.
Aussi Oracle est le SGBD le plus coûteux du marché (sauf cas spécifiques, je pense aux tarifs appliqués par IBM sur ses Mainframes par exemple), si Oracle subit le même coup que Java pour ses failles sur les applets c'est l'image de l'entreprise qui porte le même nom que son produit phare sera impacté (qui voudrait payer quelque chose qui coute une fortune et qui est remplie de faille ?).

PS: @BufferBob, 3% fait par Batman, c'est toujours ça de pris. Maintenant est-ce que 3% signifie quantité ou gravité ? Parce que Batman attrape les pires criminels de Gotham à lui tout seul.

[BufferBob]

PS: @BufferBob, 3% fait par Batman, c'est toujours ça de pris. Maintenant est-ce que 3% signifie quantité ou gravité ? Parce que Batman attrape les pires criminels de Gotham à lui tout seul.

ah mais tu prêches un convaincu, j'adore Batman perso

[pcdwarf]

III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.

La fin de la phrase est explicite, non ? "qu'elle est en droit d'effectuer"
En gros, tu as le droit de tester/utiliser et d'en faire des observations. Le "Reverse Engineering" étant explicitement interdit dans les CGU, tu n'es pas endroit de le faire. La seule chose que dit cette article, c'est qu'à partir du moment où tu respect ce que tu as le droit ou non de faire. Tu n'es pas obligé d'en demander l'autorisation à l'auteur. En gros, tu peux faire un benchmark... Je ne conseil à personne de faire du "Reverse Engineering" publiquement en se basant sur cette article.

Cette interprétation me semble peu en accord avec l'esprit de la loi qui énonce explicitement qu'on peut étudier/tester le fonctionnement d'un logiciel dans le cadre d'une opération que l'on est en droit d'effectuer.
En gros, si on a droit d'usage d'un logiciel, alors la loi dit qu'on on a le droit d'en étudier le fonctionnement dans le cadre de cet usage.
La loi nationale est théoriquement supérieure à un contrat. Interdire le Reverse Engineering dans les CGU, c'est intrinsèquement abusif. C'est aller à l'encontre d'un droit explicite.

Et d'une certaine façon ça heurte le simple bon sens vu que c'est t'interdire de vérifier qu'on est pas en train de t'escroquer.

Ceci étant dit, comme il y a toujours suspicion que le reverse-engineering soit fait dans le but de nuire ou de voler des concepts, il c'est évident que c'est "borderline" et il me parait quand même important de comparer les forces en présence avant de se lancer publiquement dans ce genre d'aventures.

Selon que vous serez puissant ou misérable....

[Bestel74]

je me doutais qu'il y aurait des réactions trolliennes voire machistes en lisant cette news.
Il n'y a plus beaucoup de développeurs qui respectent le travail des autres, pensant que tout est gratuit ou opensource ou à coffre-ouvert ou copiable donc sans valeur.

il y a une nuance entre "trouver une faille" et chercher une faille". Si vous ne comprenez pas cette nuance. Il n'est pas utile de répondre à ce sujet avec un point de vue professionnel éditeur ou programmeur.

J'avais déjà exprimé le même avis sur ce forum, et on m'avait lancer des pierres.

Je le répète, il i y a une nuance entre chercher et trouver.

C'est marrant mais tu savais que les licences privatives sont venus après ?
Le plus juste (historiquement) serait donc de penser :

"Il n'y a plus beaucoup d'entreprises qui développe dans esprit collaboratif afin d'améliorer leurs produit."
Et non pas l'inverse.

Refuser la collaboration sur un thème aussi critique que la sécurité d'un produit c'est juste se tirer une balle dans le pied et perdre en crédibilité.

Il n'y a qu'à voir : ce ticket, bien qu'émis par une personnalité importante, a été retiré. La te-hon quoi

[Bestel74]

Je suis le seul a avoir compris de la news que ce qui l'emmerde c'est les gens qui décompilent pour ensuite faire une analyse statistique automatique aveugle et rapporter le même bug potentiel que 50.000 autres clients et qui n'en est pas un?

Non mais déjà sur la forme son message il est, au mieux, très maladroit. Alors le fond le fond...
Et quand bien même son message est au delà de tout ça.

[acx01b]

les développeurs sont tous de droite mais râlent quand on leur rappelle ce que ça implique (codes sources protégés buggés et non performants écrits pas des stagiaires sous payés)

[derderder]

les développeurs sont tous de droite mais râlent quand on leur rappelle ce que ça implique (codes sources protégés buggés et non performants écrits pas des stagiaires sous payés)

Fleur en plastique, le retour.
Ah tiens non.

[RyzenOC]

les développeurs sont tous de droite mais râlent quand on leur rappelle ce que ça implique

Tu parle de la droite politique en France ?

Si oui je vois pas le rapport avec le sujet.

[tchize_]

les développeurs sont tous de droite mais râlent quand on leur rappelle ce que ça implique (codes sources protégés buggés et non performants écrits pas des stagiaires sous payés)

Hooo il est mignon ce troll, on peut le garder les gars?

[Agrajag]

Donc concrètement, les entreprises, et utilisateurs ne doivent pas chercher à colmater les failles béantes de leurs logiciels, et jouent leur sécurité en étant dans l'impossibilité de faire un audit correct de leurs plateformes, serveurs, postes de travail, ou ordinateurs personnels, forcé de faire confiance au plus mal avisé, Oracle.

Ou comment des parfaits incompétents, très friqués, monopolisent l'avancée technologique à coup de brevets vaseux pour s'assoir sur leur empire, lui-même assis sur une technologie que tous font avancer (et pas seulement eux).
Le pire c'est que ces gens ne comprennent même pas ce qui leur arrivent, pensant juste avoir misé sur le bon dada, sans comprendre que l'hippodrome est en évolution permanente.

Déjà qu'ils brident le matos, maintenant on ne doit même plus avoir la main sur le logiciel ?
L'utilisateur est root de sa machine, et pas l'inverse. Depuis quand l'outil / le produit doit commander le bétail l'humain ?

Les news IT où les géants donnent des ordres aux acteurs du domaine, ça pue un peu la merde, vous trouvez pas ?
Ça s'apelle plus un monopole, mais une dictature non ?
Qu'ils arrêtent de se plaindre de leur manque de compétence, et de leur trop faible rentrée d'argent (monumentale, et inutile au domaine malgré ce qu'ils disent).

C'est comme si on interdisait l'utilisation de librairies dynamiques parce que certains malins réecrivent/surchargent certaines fonctions systèmes.
Depuis quand on doit enlever certaines fonctionnalités inventées, et acquises pour évoluer ?

Cordialement.

[Pierre GIRARD]

Juste une réflexion : C'est du Oracle tout craché.

Par ailleurs, le Reverse engineering est TOUJOURS interdit sur tous les produits non Libres (c'est pas spécifique à Oracle). Maintenant, ça n'empêchera pas les pirates :
- de continuer à en faire,
- de trouver des failles
- et de s'empresser de les exploiter.

Bon courage à tous les clients d'Oracle.

[RyzenOC]

J'ai pas fait d'étude dans le marketing, mais je crois pas que parler de la sorte aux clients se soit bon pour les affaires.

Elle aurait pu faire preuve de plus de tacts.

[BufferBob]

J'ai pas fait d'étude dans le marketing, mais je crois pas que parler de la sorte aux clients se soit bon pour les affaires.

Elle aurait pu faire preuve de plus de tacts.

oui, sur le fond elle a peut-être (ses) raison(s) mais sur la forme c'est une faute de communication, c'est un coup à fâcher le client et qu'il décide d'aller brouter ailleurs

[tralloc]

Mon pauvre MichaelREMY
Je passe sur les fautes d'orthographe qui sont nombreuses et pour certaines abominables (Je sais que j'en fais aussi...).

Evidemment que tout le monde a compri que chercher et trouver des failles de sécurité ce n'est pas pareil. D'ailleurs tu l'as dit au moins 3 fois.
Mais justement, il y a des gens qui s'appellent des expert en sécurité et dont le métier est de chercher des failles de sécurité afin de s'assurer que les produits qu'ils utilisent ne mettent pas la sécurité de leurs applications et leurs entreprises en danger. Et c'est primordial.

Je passe sur l'aspect scandaleux du message de la fameuse employée d'Oracle

Et j'apporte une solution : Si ça vous fait peur utilisez de l'opensource.
Moi ça me fait peur.

[MailOut]

Je ne connais pas les conditions d’utilisation mais si Oracle s'engage à rembourser le client en cas d'un problème lié à une faille dans leurs produits, il n'y a évidement aucune raison de chercher les failles,

malheureusement la plupart du temps les Conditions d'utilisation des logiciels, c'est "on est responsable de rien, tu n'as pas le droits de nous poursuivre" donc je me demande bien pourquoi les gens font des audits qualité sur les produits qu'ils vont utiliser

[Pierre GIRARD]

Je ne connais pas les conditions d’utilisation mais si Oracle s'engage à rembourser le client en cas d'un problème lié à une faille dans leurs produits, il n'y a évidement aucune raison de chercher les failles...

Moi non plus, mais souvent, dans les cas que je connais, dans le contrat de licence il y a une petite phrase du genre : "Vous utilisez ce logiciel à vos risques et périls etc...".

[knibals]

L'article original a été supprimé et le cache de Google vidé ! Mais vous pouvez quand même le voir ici http://web.archive.org/web/201508110...u_really_can_t

Bonne lecture!