Désolé j'avais mal lu, mais j'ai bien compris que cela me concernait personnellement et n'avait rien à voir avec la sécurité, du coup j'ai regardé en diagonale.
"Le train de tes injures roule sur le rail de mon indifférence."
"Monde de merde !!"
Georges Abitbol.
Pleins de choses !!
D'ailleurs je tu l'as dit avant moi :
La question à la base était :
Google vous parait-il être à ce point à la pointe de la sécurité pour pouvoir se positionner en « donneur de leçons » ? Ou s'agit-il au contraire d'une très bonne initiative ?
Google est-il à la pointe de la sécurité ?
Avec 10 000 ingénieures, je pense que oui ils doivent en avoir les moyens et les compétences. Après c'est tout dans le marketing, ils profitent de la tendance c'est tout, et de bonne guerre.
Bien sûre que c'est une bonne initiative, et j'espère que cela forcera les autres à surenchérir !!! Les boites telles que Google, Microsoft, Apple, Adobe aiment jouer sur la communication alors il faut qu'ils en profitent.
Ensuite pour le débat de fond mon avis est le suivant :
Il est normal qu'un éditeur d'une grande solution corrige ces failles, c'est même obligatoire surtout si la faille est classé de niveau important. Après le temps de correction dépend de la structure, une société structurée comme Microsoft ne pourra jamais répondre aussi vite qu'une communauté Open Source, et c'est normal, le temps que la hiérarchie fasse ses réunions pour savoir qui la corrigera ect.... bon vous avez compris on l'à tous vécu.
Mais l'éditeur DOIT prendre au sérieux la faille et la corriger
En partant de la (du fait que la faille doit être corrigée), oui il faut publier l'exploit, mais quelques temps après la diffusion/adoption du patch.
Bah oui parce que sinon on fait comment pour savoir si notre parc/machine est sensible ?
C'est ce que font pas mal de scanner de vulnérabilités utilisé par nos amis admins réseaux par exemple, ils tentent des exploits afin de vérifier que le parc ne comporte pas de maillions faibles.
Voici pour mon humble avis qui ne méritais pas de figurais ici, mais comme il est vrai que je l'ai ramenée....
cordialement
"Le train de tes injures roule sur le rail de mon indifférence."
"Monde de merde !!"
Georges Abitbol.
@worm83
Ok avec toi mais je rajouterais 2 points :
1 / Si l'éditeur est visiblement de mauvaise foi, et je sais bien que cette assertion est très subjective, il faut publier pour forcer la main.
2 / Si la faille est corrigible, même temporairement, par un tiers, en désactivant tel ou tel module, en downgradant le logiciel, ou par toute autre manipulation réalisable par un administrateur réseau, il faut impérativement publier le pourquoi du comment ce qui induit quasi-nécessairement d'expliquer la faille. Et de l'explication au PoC il n'y a qu'un pas.
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
Tout ce dont vous parlez, ça reste de l'éthique quoi.
Selon votre éthique, un chercheur doit divulguer le résultat de son travail à l'éditeur, et même lui expliquer comment corriger ses erreurs.
Et bien sûr tout cela gratuitement.
Ils ont la belle vie les éditeurs avec votre éthique, des chercheurs en sécurité gratos... (certains développeur ont l'open-source en horreur, mais dès que ça touche plus leur métier, tout le monde doit tout partager, au nom de la sécurité du consommateur...)
Moi je dis que quelqu'un qui trouve une faille fait ce qu'il veut :
- Ne rien dire
- Informer (gratuitement ou pas) l'éditeur
- Informer (gratuitement ou pas) le public ou le plus offrant.
- Faire un PoC ou pas
Et c'est totalement légitime qu'il cherche à en tirer profit, au delà de toute considération de morale ou de sécurité de l'utilisateur. (qui n'est qu'un prétexte, quel bisounours est tombé dans le panneau ?)
Yoshi
PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.
Je me suis directement mis dans le cas où : un mec trouve une faille et prévienT l'éditeur, que doit faire l'éditeur.
Oui le gars trouve une faille, il en fait ce qu'il veut on est d'accord mais je partais du principe que la personne est de bonne intention (même si ce n'était que sous entendu).
"Le train de tes injures roule sur le rail de mon indifférence."
"Monde de merde !!"
Georges Abitbol.
Si on publie le fait qu'il y a une faille de sécurité sur tel "truc", vous croyez pas que les "pirates" vont porter toute leur attention à la trouver, et que les hackers eux auront d'autre chose à faire et vont attendre que l'éditeur la corrige lui même?
En fait ce que je veux dire c'est que ne pas publier la faille ne veut pas dire que les pirates ne vont pas la trouver où bien même qu'ils ne la connaissent pas déjà.
dam's
Je préfère ne pas en être sûr tout en prévenant l'éditeur, que de divulguer la faille et être certain que tous les pirates sont au courant avant même que l'éditeur ait pu tenter quoi que ce soit.
[EDIT] Faute de temps
Yoshi
PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.
Si Google veut absolument faire quelque chose, il peut aussi demander un projet de loi sur le sujet. Du genre: si la faille est signalée à l'éditeur et n'est pas corrigée dans les X jours, il est rendu coupable de négligence avec une amende à la clé.
Par contre faut pas rêver ce genre de loi passera jamais aux US...
"L'éducation, c'est le début de la richesse, et la richesse n'est pas destinée à tout le monde" (Adolphe Thiers)
Ah mais je suis tout à fait d'accord, ce n'est pas fondamentalement mal.
Juste que ce n'est pas une raison pour le cautionner sous toutes ses formes. C'est un fait avéré qu'on soit dans une société capitaliste pour un bon bout de temps mais pour moi ce n'est pas une raison pour affirmer que c'est bien. Enfin là on s'écarte du sujet, mais je voulais juste éclaircir ce point. ^^
Alors qu'elle est bien passée en France pour les particuliers, sommés de sécuriser dans un temps donné leur réseau personnel qui pourrait servir à des pirates...
Pourquoi pas la même chose avec les éditeurs et leurs logiciels ?
@Hellwing
Oui on est d'accord en fait, je suis juste plus blasé encore.
Yoshi
PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager