Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
tu vas te faire lyncher à dire a comme ça tu saisEnvoyé par Louis Griffont
. Le problème, c'est que l'on ne sait même pas si Linux sera sujet aux même problèmes que windows avec une adoption massive. Il y en aura c'est sur, mais pas les mêmes. C'est pareil de partout, plus il y a d'utilisateurs plus il y a de probabilité d'une manipulation inatendue de l'outil. Mais je ne suis pas persuadé que ça en arrivera au niveau de Windows XP ou Vista question problèmes.
Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous
Mon Tutoriel pour apprendre les Agregations
Consultez mon Blog SQL destiné aux débutants
Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server
Les sources de téléchargement des logiciels libres sont connues et très régulièrement auditées, cela ne peut pas arriver si tu prends le logiciel dans l'endroit de référence.
En plus, il y a un truc qui s'appelle le CRC ce qui constitue un moyen de contrôle supplémentaire.
-"Tout ça me paraît très mal organisé. Je veux déposer une réclamation. Je paye mes impôts, après tout!"
-"JE SUIS LA MORT, PAS LES IMPÔTS! MOI, JE N'ARRIVE QU'UNE FOIS".
Pieds d'argile (1996), Terry Pratchett 1948 - 2015
(trad. Patrick Couton)
heu bizarre moi qui ai suivi des cours sur la sécurité, on m'a justement dit le contraire, comme quoi.
et la crypto, c'est loin d'être inviolable (prétendre c'est déjà très prétentieux de la part de ceux qui pondent les algorithmes), c'est juste "difficile", pas impossible (c'est d'ailleurs pour ça entre autre qu'on augmente la taille des clés).
Bien sur, mais le code libre permet de voir les bugs "bêtes" qui sont de bons candidats aux exploits.
De plus tu oublies que les boites n'ont pas forcément les moyens d'auditer le code qui "marche" mais qui pourrait permettre des exploits dans le futur.Merci au code privateur.
A l'inverse linux étant maintenu par beaucoup de développeurs et de grandes sociétés, on doit avoir une valeur ajouté par cette "maintenance" croisée.Regarde le cas de SElinux, impossible avec du code privateur.
C'est une méconnaissance des technique de hacking...
Certes d'avoir le code ça aide, mais on peut hacker de nombreuses manières y compris du non libre ou des logiciels au code source introuvable (open source ou la dernière version n'est visible que par les développeurs par exemple).
Virus??? L'exemple de Linux serait plutôt d'avoir les droits root sur la machine en passant par apache (sur un serveur).
La news parle d'un virus qui permet de prendre le contrôle, il existe d'autres moyens que les virus.
Dernière modification par Mejdi20 ; 13/05/2010 à 07h36.
En fait, ni l'ouverture ni la fermeture n'ont fait leur preuves dans le passé. Si ?
A l'époque où tout était un peu plus fermé, des petits malins exploitaient déjà des virus et autres saletés par des failles de sécurité. Aujourd'hui où c'est plus ouvert, il y a toujours le même phénomène, mais ils exploitent le manque de sensibilisation des utilisateurs : plus facile et plus rapide.
Disons que l'ouverture, ça permet d'apporter aussi des angles de vision sur les failles potentielles, et de les corriger rapidement en les identifiant plus vite.
L'inconvénient, c'est qu'elles sont aussi plus accessibles du coup.
Pour ce qui est des codes modifiés et redistribués, comme le dit Deadpool, vaut mieux éviter d'installer des versions non officielles des logiciels.
Tout ceci n'est qu'une course entre les gentils (les divers éditeurs) et les méchants (piraaaaaates), perdu d'avance par les gentils puisqu'ils ne peuvent que réagir aux attaques des méchants : il n'y a que quand la faille est révélée (exploitée ou non) qu'on peut la corriger...
La plus grosse faille dans tout ça, c'est quand même, je pense, la personne derrière son écran, et qui clique sur "exécuter" (ou qui lit le pdf d'un parfait inconnu qui lui vend du Viagra). J'en vois tous les jours ou presque, sur mon lieu de travail. Et c'est là que je rejoins la pensée de Lyche
Nous y gagnerions sans doute à sensibiliser ces personnes, plutôt qu'à chercher indéfiniment des solutions technologiques et universelles à nos propres défaillances.
Un mix des 2 serait l'idéal
D'ailleurs, pour revenir au sujet :
Absolument pas.Etes-vous étonnés que ce type de subterfuge puisse fonctionner ?
En entreprise, ça me ferait suer que ça fonctionne. Maintenant que les divers organismes de sécurité sont alertés, les outils devraient faire le ménage rapidement, avant même d'arriver dans les boîtes mails. Tout du moins, je l'espère ...D'après vous, des entreprises tomberont-elles dans le panneau ou les progrès de la sécurité les préserveront-elles de cette attaque ?
En effet c'est possible, quoi que avec les clés, tu peux t'assurer de l'intégrité du logiciel, mais surtout cela permet de se reposer sur ceux qui s'y connaissent, en effet il va être plus facile de faire sécuriser par des professionnels un serveur plutôt que par des utilisateurs X ordinateurs.
Pour moi, seul les utilisateurs avertis devraient pouvoir installer des logiciels, les autres devraient passer par quelque chose de sécur : donc un gestionnaire de paquets.
Alors là ça m'intéresse, tu veux dire qu'on t'as conseillé le code fermé, donc un système à la Windows, sans audit possible?
+1 pour la crypto, c'était juste un exemple pour dire que c'est pas parce que le code ou la méthode sont connus que tu y perds en sécurité. Au contraire il vaut mieux appliquer ce qui est connu et qui a fait ses preuves.
dam's
Normalement tu es censé signer ton application avec un certificat pour éviter ce genre de déboires.
De toute façon il est vrai qu'à première vue il semble logique qu'un code ouvert soit plus vulnérable qu'un code fermé mais c'est pourtant un fait connu et reconnu qu'un code ouvert ET maintenu est forcément plus secure qu'un code fermé.
OpenSSL ? BouncyCastle ? Que de l'open source. Quelqu'un peut-il me citer une API de sécurité propriétaire utilisant des algorithmes tenus secrets ? Cela n'existe plus et ce n'est pas un hasard.
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
Les incompétents il y en a partout. J'ai déjà vu des profs de web expliquer que la mise en page d'une page se fait avec des <TABLE>.
Un prof de sécurité qui te dit que le secret des algorithmes et des codes c'est la condition nécessaire d'une bonne politique de sécurité est gravement atteint d'incompétence. Il est à rebours de tout ce qui se fait internationalement.
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
D'ailleurs si les pirates ont accès aux sources de Windows 7 ils vont se régaler...
Sérieusement faut être mauvais pour laisser accessible ses sources sur un serveur de prod ...
Ba tu testes plein de données en entré de ton logiciel, si ça plante c'est qu'il y a un bug. Acte 2 attaques par buffer overflow!!!
Évidement connaitre la plateforme utilisée est nécessaire les standards
Dernière modification par Mejdi20 ; 13/05/2010 à 07h51.
on m'a rien conseillé du tout, le type (expert en sécurité) m'avait l'air louche, mais bon, son propos était à peu près :
ce qui est quand même un peu vrai (pour la première partie de sa phrase), mais bon, c'est vraiment prendre un raccourci dangereux."le code fermé échappe à toute forme d'analyse lexicale, syntaxique et sémantique, ce qui permet de se prémunir des formes les plus évidentes de virus".
après de toute façon, même le code le plus fermé subit quand même des audits. même chez microsoft, "ils ne vivent pas en autarcie non plus", il y a juste la masse et la "qualité" des personnes auditant qui change.
et méa culpa pour la crypto, j'ai mal interprété ton propos.
Il est plus simple d'exécuter une appli codée pour tester les failles de sécurité (ça existe !) plutôt que d'analyser le code.
Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.
"Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
Kenneth E. Boulding
"Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
Jean-Baptiste Say, Traité d'économie politique, 1803.
"/home/earth is 102% full ... please delete anyone you can."
Inconnu
Effectivement il est louche... il existe plein de logiciels pour analyser le comportement d'un autre, rien qu'avec une machine virtuelle tu peux avoir plein d'information à un temps donné.
Clairement le meilleur exemple c'est Windows, leur code est super fermé et pourtant il existe beaucoup de virus dessus.
Il faut aussi voir qu'avec un code libre, il n'y a pas que les "pirates" qui vont regarder le code, il y a aussi les curieux, les experts, les chanceux, etc et tout ce petit monde va permettre de tester et sécuriser le code.
dam's
Si on prend les devants (les erreurs de windows et les utilisateurs en fait), il faudra effectivement repenser une partie des linux "grand public" comme Ubuntu pour qu'ils soient sécuriser au maximum. Ça reste à faire (déjà mettre un anti-virus...).
Dernière modification par Mejdi20 ; 13/05/2010 à 07h54.
oui mais c'est aussi prendre un raccourci que de dire code ouvert = plus sécurisé.
dès lors que le code n'est pas trivial, il y aura forcément des failles à exploiter, que ça soit dans le domaine propriétaire que dans le domaine open source, l'une des forces de ce dernier c'est la mise à disposition des correctifs quasi immédiate suite à la découverte.
et encore pour les pros, ça ne change pas grand chose puisque les mises à jours ne sont faites que par force majeure et/ou si ça rentre dans le planning.
Là on était plus parti sur code fermé = sécurité en fait.
Effectivement si demain Windows libère son code ce n'est pas pour autant qu'il va être sécurisé, c'est juste qu'il va pouvoir être relu, corrigé, etc par des tiers. Aussi par des pirates, on est tous d'accord sur ce point, mais si un pirate a trouvé la faille simplement en regardant le code, vous pouvez être sûr que quelqu'un d'autre la trouvera aussi et peut-être même avant...
dam's
Ça c'est un argument souvent répété qui à mon sens n'a de valeur que la méthode Coué !
Je ne vois pas en quoi le fait qu'un logiciel soit en «open source» entraine que les correctifs soient mis plus rapidement à disposition !
c'est pas non plus une garanti, mais assez souvent c'est le cas, par exemple, une faille dans le noyau linux est corrigée en quelques heures et le patch/mise à jour disponible aussitôt. (je mets souvent car ça n'a pas été tout le temps le cas me semble-t-il)
c'est vrai aussi que ça peut tout aussi bien l'être pas avant des semaines sur d'autres projets moins "populaires".
Le problème du fermé c'est que normalement il devrait y avoir un gros travail de suivi, mais les annonces récentes de certains ("tiens y a une faille critique mais on s'en fou") n'aident pas non plus à la réputation du code fermé.
ça me fait rire ce débat sur le libre. En gros, une entreprise devrait investir de l'argent sur un projet et dire au monde entier "vas-y amuse toi fait ce que tu veux". C'est dans le monde de Bisounoursland. Effectivement, le libre face au fermé ne change absolument rien et j'ai un gros exemple très connu. PhpBB qui est une application libre mais au combien attaqué à un point que certains hébergeurs ne souhaitaient pas cela sur leur serveur. Ouvert pour que la communauté puisse y apporter des améliorations ? Fermé, pensant que cela va donner moins d'information au hacker ? C'est juste une question de temps mais le risque c'est de s'enfermer et de manquer de recule pour voir le problème. Si 100 000 individus regardent le code il y a plus de chance qu'ils en trouvent que 10 personnes. C'est le risque du code fermé.
Alors, le débat sur "hooo c'est pas bien parce que le code est fermé" allez raconter cela sur une autre planète parce que ces entreprises vous payent la gamelle de manière indirecte.
Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...
Ben voilà, j'avais raison. C'était bien un joli petit troll et tout le monde tombe dedans à pied joint et avec allégresse.
Il est où le rapport entre la sécurité dans le libre et des pirates qui profitent de l'idiotie des gens pour leur faire télécharger des cochonneries?! (cherchez pas, il y en a pas)
Donc, au lieu de partir encore une fois sur la même chose, est-ce qu'on pourrait retourner au sujet initial:
Comment peut-on faire pour que le QI des gens ne diminue pas de 50% quand ils sont devant un ordinateur?
THIS!IS!NOT!MY!COW!
CECI!N'EST!PAS!MA!VACHE!
(mais je persiste à dire que c'est moins classe en français)
J'aimerai bien savoir parmi tous les gens qui disent que du code ouvert c'est mieux, combien d'entre eux ont déjà ouvert du code afin de regarder s'il y avait des bugs?
Après, va falloir se mettre à la page, Linux, il n'est pas développé par la communauté des gentils gens qui préfèrent utiliser vim que de regarder un film. Bon, il y en a quelques-uns, mais c'est la world-company qui développe l'OS afin que ça corresponde à ses besoins. C'est pas pour la beauté du geste.
http://blogs.techrepublic.com.com/op...htCol;topRated
Le code ouvert, tout le monde peut le corriger
Ben tiens... Qui a déjà eu le droit de faire un commit sur apache, tomcat ou eclipse? Pas grand monde à l'égard du nombre d'utilisateurs. Et c'est bien normal.
Alors oui, on peut remonter les fautes via un tracker, mais pour un logiciel non-open source aussi.
Par rapport à certains commentaire, je trouve pas vraiment ça internet ouvert que de vouloir restreindre les applis que les gens peuvent utiliser, même si c'est pour leur "bien".
Faudrait veiller à arrêter de se dire qu'on peut changer les choses par soi-même si on est pas satisfait de ce qui existe avec l'open-source. T'es pas content de linux? Tu te fais ton fork tout pourri, voilà. 2 semaines après tu ne le maintient plus. Ah oui, mais mon code est sous GPL v3, alors n'importe qui peut le mettre à jour.
Les pirates informatiques sont des gens à la pointent, ce sont eux et les labos de recherche. Sinon ça ferait longtemps que les gentils auraient arrêté les méchants.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager