Affichage des résultats du sondage: L’introduction de faux bogues pour le renforcement de la sécurité d’une application ...

Votants
13. Vous ne pouvez pas participer à ce sondage.
  • est une méthode à explorer à fond par les industriels

    2 15,38%
  • n'a aucune chance de devenir un standard de l'industrie

    8 61,54%
  • Autres, à préciser

    3 23,08%
  1. #21
    Membre actif Avatar de KsassPeuk
    Homme Profil pro
    Post-Doctorant
    Inscrit en
    juillet 2013
    Messages
    80
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Post-Doctorant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 80
    Points : 298
    Points
    298

    Par défaut

    Citation Envoyé par Aurelien.Regat-Barrel Voir le message
    C'est dingue l’agressivité que déclenche ce papier... Ces sont juste des chercheurs qui font leur boulot d'explorer des pistes qui n'ont jamais été explorées jusqu'ici. Pour info il est là :
    https://arxiv.org/pdf/1808.00659.pdf
    J'ai pas de problème avec le fait de faire de la recherche et d'essayer de nouvelles idées. J'ai beaucoup plus de problèmes avec un papier qui n'est cité nulle part et où le seul bibtex qu'on peut avoir (sur arxiv) n'indique aucune conférence ou journal (et après avoir cherché ailleurs, il y a toujours aucune trace d'une conf/journal associé).

    Et d'un point de vue validité, j'ai aussi beaucoup de problèmes avec un papier qui indique pouvoir créer des bugs " provably (but not obviously) non-exploitable" ... justement sans fournir la moindre preuve. Il n'y a rien non plus qui évalue l'impact de ces bugs "inexploitables" sur l'exploitabilité des bugs qui pourraient se trouver dans l'application avant de commencer les injections.

    Citation Envoyé par Aurelien.Regat-Barrel Voir le message
    As-tu des outils à recommander ?
    Pour le C :

    • Frama-C
    • Infer static analyzer
    • Astrée
    • Polyspace
    • Verifast
    • Microsoft VCC


    Et après, on peut prendre du moins intégré et travailler un peu plus le problème à bras le corps, comme ce qui a été fait pour seL4 par exemple, ou ce qui est fait régulièrement à travers PVS Specification & Verification System, ou avec différents Model-Checkers, ou avec des assistants de preuve genre Isabelle ou Coq (pour les plus courageux).

  2. #22
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 431
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 431
    Points : 27 726
    Points
    27 726

    Par défaut

    La vérification formelle, c'est encore autre chose, il faut l'impliquer dès le début du projet, sinon c'est extrèmement compliqué à ajouter après -- comme la sécurité d'ailleurs.

    Je reste persuadé, comme BufferBob, qu'un code sécurisé, clair, vérifié et validé reste la meilleure des protections. Néanmoins, il existe aussi des cas d'applications (fonctionels) qui ne sont pas courants et dans lesquels on pourrait avoir besoin d'autres pistes de sécurisation, pourquoi pas comme celle-ci. En effet, dans certains cas, les besoins peuvent nécessiter des fonctionalités qui ne sont pas applicables aux cas courant, et dans ce cas il est souvent intéressant d'avoir des pistes plus ou moins exotiques.
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  3. #23
    akd
    akd est déconnecté
    Membre actif
    Femme Profil pro
    ex dev en cours de reconversion
    Inscrit en
    février 2006
    Messages
    169
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 33
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : ex dev en cours de reconversion

    Informations forums :
    Inscription : février 2006
    Messages : 169
    Points : 230
    Points
    230

    Par défaut

    Celà voudrait dire que... Microsoft est visionnaire?


    J'aimerai quand même qu'on teste la performance d'un code rempli de leurres de ce type.
    Puisque tout code exécuté prend du temps et de l'énergie; pas sûre qu'une appli sécurisée de la sorte ne soit ni green, ni rapide à exécuter.

    Enfin on sait bien que l'idée d'un code performant est abandonné depuis belle lurette (il n'y a qu'à voir les langages à la mode maintenant )

Discussions similaires

  1. Réponses: 0
    Dernier message: 07/03/2012, 16h30
  2. Réponses: 5
    Dernier message: 11/12/2009, 13h20
  3. Que faut-il pour une applic sur PC sans Acc
    Par rlejeune dans le forum Modélisation
    Réponses: 5
    Dernier message: 05/10/2009, 15h03
  4. [Kylix] Execution d'une application hors de l'edi
    Par Sadam Sivaller dans le forum EDI
    Réponses: 1
    Dernier message: 20/04/2002, 23h22
  5. Réponses: 2
    Dernier message: 15/04/2002, 12h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo