Détecter les modifications formulaire Cloud storage et ACCESS
Classe MELA(CRUD) Opérateur IN et zone de liste Opérateur LIKE
Visitez mon Blog
Les questions techniques par MP ne sont pas lues et je ne pratique pas la bactériomancie
Il y a pas mal d'argument
Je ne vais pas les reprendre un à un, il y en a trop, mais pour une bonne partie, je suis d'accord
Sauf que... (ben sinon on ne peut plus si disputer )
Le nombre de PC avec Windows est lié à la fois au fait de l'expérience indéniable de Microsoft et la jeunesse des autres OS (attention, je parle de démocratisation, non d'OS disponible, mais utilisable que par des initiés) et au fait des méthodes de vente
Concernant les mises à jour, le fait de ne pas pouvoir avoir ne garanti de compatibilité entre les soft/matériel tournant sur W98 et Win XP suppose pour certain un lourd investissement de remise en question de tous leurs systèmes informatiques (soft, matériel, formation). Cela ne se fait pas du jour au lendemain.
En cela, maintenir encore un temps suffisant me parait normal. Reste là aussi à définir ce temps suffisant...
Concernant WinXP et Seven (oublions Vista, tout le monde peut se planter.) ben il s'est passé énormément de temps. Il est donc à mon sens convenable de maintenir WinXP suffisament longtemps.
Par contre, à tous les pro de l'informatique, combien de temps serait nécessaire pour changer d'OS (comprenant alors le matériel, les soft et la formation nécessaires) ?
Les réponses seraient très différentes d'un service à l'autre...
Sachant que même avec tous les efforts du monde, la sortie d'une nouvelle version suppose le risque bugs, non pas qui bloque le PC, mais qui selon le cas empêche le bon fonctionnement d'un soft ou d'un autre ; Est-ce raisonnable de faire évoluer son système dès la sortie ?
Je suis hyper prudent et regarde de très très près l'absolue nécessité de changer de version de ma distribution Linux pour les mêmes raisons
En conclusion, du fait des cas très différents selon les utilisateurs (les pro, non le grand publique), les besoins de garanties ne sont pas les mêmes, les nécessités ou les temps nécessaires ne sont pas les mêmes. Avec un vide juridique et même un défaut de cahier des charges, rien n'oblige un éditeur à faire des correctifs, à fournir un service gratuit sauf.... le fait de soigner son image, donc de préserver sa clientèle (ce qui est somme toute logique)
Enfin, opposer d'une part le côté "libre" et le côté non libre serait ici complètement hors de propos. Car dans le côté libre, non payant, l'utilisateur sait que les distributeurs, concepteur ne s'engage en rien et mettent gracieusement un soft dans l'état. Alors que du coté propriétaire payant, il y a vente de service faisant alors naitre des obligations. Ce sont ces obligations qui ne sont pas suffisamment défini soit par une loi (là, on en a pour 50 ans avant de voir quelque chose d'exploitable juridiquement) ou un cahier des charges suffisamment complet qui à mon sens (en tant que nocice en la matière) devrait être un peu plus facile à définir (genre maintenant X jours/mois ou années après la sortie d'une version supérieur. ainsi, tant l'éditeur aura une sécurité quant à la gestion d'un produit en fin de vie et l'utilisateur une garantie quant à la maintenance. Sans que ni l'un ni l'autre n'abuse.
Enfin, il est clair que les mentalités doivent évoluer tant chez les utilisateurs qui ne sont pas rois, mais clients et les éditeurs qui eux aussi ne sont pas esclaves mais non plus du fait de leur taille je m'enfoutistes vis-à-vis des clients.
Pour terminer, la sécurité est l'affaire de tous, des éditeurs mais aussi des utilisateurs. En effet, on voit trop souvent des utilisateurs de tut niveu manquer de jujotte dans l'utilisation de leurs outils... c'est dommageables pour tous...
Oui, il y a énormément de travail pour évoluer... ce n'est que les prémisses d'un changement profond qui je l'espère sera profitable à tous.
C'est quoi le cahier des charge de Microsoft concernant Windows ?
Même question pour Google, Mac OS etc...
Voilou
Couik
Dernière modification par Mejdi20 ; 26/07/2010 à 13h26.
Ah la la la la la….
Je m’absente quelques jours et certains ont bien délirés !
Sur le site d’Ubuntu vous trouverez toutes les informations utiles pour se faire rembourser le Windows vendu avec, un PC (Pour un Mac c’est pas gagné, mais en général ceux qui achètent un Mac préfèrent utiliser Mac OS X).
C’est quand même un parcours du combattant, et le site indique marque par marque, les courriers à faire, les liens utiles…
Attention, c’est sous toutes réserves, certaines marques pouvant changer leur*fusils d’épaule; mais la communauté Linux-Ubuntu est de plus en plus dynamique, pourvu que ça dure !
Le dernier point qui me désespère, c’est de constater que visiblement, certains ne veulent pas comprendre qu'une faille de sécurité n’est pas un bug.
Je sais pas dans quelle langue faut le dire, alors je vais tenter une dernière «*image*» pour l’expliquer:
Quand un bateau se fait attaquer par des Pirates, est-ce que vous considérez que le constructeur du bateau est responsable ???
? au prétexte qu’il ne l’a pas conçu à l’épreuve des balles, que la coque n’était pas assez haute pour éviter les grappins, etc, etc…
Ou alors pour vous Windows devrait être comme un Tank, c’est ça ?
Ben désolé, même un Tank ça peut «*être pété*»;
Et pour chercher une responsabilité, c’est du coté des agresseurs que vous la trouverez.
Non de celle du fabricant, celui-ci vous a fourni un bateau en état de marche, fait pour naviguer pour votre agrément, et ainsi de suite. Libre à vous d’aller dans des eaux infestées de pirates, mais ne venez pas vous plaindre ensuite au constructeur ou à l’architecte du bateau.
Maintenant, s’il y en a qui ne veulent toujours pas comprendre, je vois mal ce que je pourrais faire pour leur ouvrir un peu les yeux…
«La pluralité des voix n'est pas une preuve, pour les vérités malaisées à découvrir, tant il est bien plus vraisemblable qu'un homme seul les ait rencontrées que tout un peuple.» [ René Descartes ] - Discours de la méthode
Je comprends très bien, sur tout ce que tu dis, j'approuve.
Le souci est simple : Un bug, en général, il est corrigé avant que l'on sache qu'il existe. Une faille, c'est je suppose bien plus problématique.
Maintenant, reprendre la guerre des vendeurs pour se faire rembourser est hors sujet ici sauf si bien sur, l'éditeur fait pression sur les fabricants de PC, portable et que cela provoque ce phénomène de vente forcé dont les imbécile du juge (certains, pas tous) sous prétexte de leur haut pouvoir de décision ne prennent pas la peine de s'interroger...
Microsoft fait partie de condamnés pour ce genre de pratique (avec bien d'autre comme intel, etc...)
Mais bon, ceci est une autre histoire.
Le souci ici de discuter de l'éthique de la méthode utilisée par l'employé de Google
Je pose donc la problèmatique suivante :
Fort d'une compétence hors paire (là c'est vraiment un exemple ), je trouve une faille dans un OS (Windows, Linux, Mac OS...)
Deux choses l'une :
-> soit je suis un gentil garçon et j'en informe l'éditeur et là, il n'en a cure... Que faire ?
-> Soit je suis une vilain pirate, et je m'en sers
Concernant l'éditeur, que doit-il faire ?
Ben rien bien sur, ce n'est pas un bug et de toute façon, comme le bateau il n'est pas responsable...
Dans ce cas, soit cette faille est dévoilé pour deux raisons :
-> Je suis le gentil, je publie l'info et du coup, l'image de l'éditeur se trouve ternie... d'où les réactions puérils de ces grosses multinationales.
-> Il est publié par les spécialistes de la sécurité suite à la déclaration des victimes des pirates (pas de la faille hein ) en publiant un truc qui les protège... la encore, l'image de l'éditeur en prend un sale coup...
L'un comme l'autre, l'image de l'éditeur se trouve secoué. Maintenant, que l'on condamne, ou que l'on excuse, l'éditeur, s'il veut garder la confiance de ses clients se trouve das l'obligation de réagir... À l'éditeur de choisir comment.
À la lecture des arguments tant de Microsoft que de l'employé de Google, il semble qu'il ait divergence sur le mode de communication de la faille en question dans ce sujet... : pour l'un 5 jours, pour l'autre deux mois. Pour l'un un délai trop court, pour l'autre deux mois de délai et aucune réaction...
Qui croire ?
Je n'ai ni confiance en Microsoft qui se montre fuyant avec d'interminable histoire de sécurité non réglé malgré les informations qui lui sont fournies, ni en Google qui se permet de mettre des mouchard dans ses soft, de voler des informations personnelles via ses voitures googlestreet etc...
Difficile de prendre position non ?
Je n'ai pas plus confiance dans Linux qui je le sais, comme n'importe quel système d'exploitation comporte des failles. Je ne suis pas spécialement parano, Je suis conscient de la difficulté du travail à faire pour avoir un blindage correcte tout en ayant un système utilisable. Mais je suis attentif aux réactions. Et les réactions sont plus parlant qu'une publicité mensongère par abus de belles images.
Microsoft est beau sur le papier, très beau concernant seven (j'avoue ) mais franchement moche concernant sa mentalité. C'est suffisant pour me faire perdre confiance.
Ceci dit, Microsoft a plié, il a fourni un patch... preuve que...
(il aura fallu attendre qu'il y ait des victimes... c'est dommageable pour les clients)
Dernière modification par Mejdi20 ; 27/07/2010 à 15h56.
Et pourquoi y-a-t-il eu des victimes ? Parce qu'un PoC a été publié. Alors qu'il aurait suffit de signaler qu'une faille découverte, et a été signalée à Microsoft depuis x temps n'a toujours pas été corrigée. Cela aurait mis la même pression sur Microsoft, et n'aurait pas permis une utilisation pernicieuse du travail de recherche effectué.
Ironie ou pas ironie, si un gars a publié la faille sans publier un PoC, et que la faille a été utilisée pour faire des victimes avec des dégâts importants à la clé, il a une mince chance de s'en tirer. S'il a en plus publié un PoC, ses chances de s'en tirer s'amenuisent considérablement.
"L'éducation, c'est le début de la richesse, et la richesse n'est pas destinée à tout le monde" (Adolphe Thiers)
Yoshi
PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.
Détecter les modifications formulaire Cloud storage et ACCESS
Classe MELA(CRUD) Opérateur IN et zone de liste Opérateur LIKE
Visitez mon Blog
Les questions techniques par MP ne sont pas lues et je ne pratique pas la bactériomancie
Chez lui, Monsieur X à une porte d'entrée avec un modèle de serrure 'LAMBDA'
Problème : toutes les serrures 'LAMBDA' très répandues ont un défaut. Je préviens le fabriquant qu'il faut toutes les changer à cause de ce défaut.
5 jour après, celui-ci n'a rien fait, même pas un courrier ! Je décide donc de dire dans toute ma ville : "Les serrures 'LAMBDA ont un défaut, il suffit de taper un grand coup dessus pour qu'elle s'ouvre".
Quelques jours plus tard, une grosse vague de cambriolage touche la ville, et plus précisement les propriétaires de serrure 'LAMBDA'.
Commentaire : Bin oui je la joue réglo, j'aurais pu aller la vendre à un tueur en série (... a ba oui maintenant que je l'ai dit, de 1) les tueurs le sauront et 2) j'ai même pas gagné d'argent ).
Question : qui est responsable de ces cambriolages ? (réflechissez bien !)
The magic of Opera, La magie de l'Opera
The mysteries of Space Opera, Les mystères de l'Opera Spatial
Mr. Know-it-all, M. Je-Sais-Tout
Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)
Yoshi
PS : tous les propos tenus dans le message ci-dessus sont à préfixer avec "A mon humble avis", "Je pense que". Il serait inutilement fastidieux de le rappeler à chaque phrase.
Sans déconner, on va interdire les comparaisons avec d'autres domaines que l'informatique, ça devient n'importe quoi.
(soit dit en passant, le rapport entre "comment tuer" et une faille de sécurité est vachement moins évident qu'entre "comment pénétrer chez autrui" et ladite faille)
En effet, et si j'ai dit ça, c'est que cela commençait à dériver vers "C'est la faute à l'ingénieur si ya eu des PC infectés, etc...".
Ce qui est sûr, c'est que la faute directe de l'infection incombe aux pirates eux-mêmes, qui sont tout de même responsables de leurs actes.
Après, sachant que dehors pleins de gens cherchent des failles pour rentrer dans windows, devait-il vraiment publier le POC ? Il pouvait certainement se douter de ce qui arriverait. On pourrait même dire qu'il a publié le POC en connaissance de cause, en sachant ce qui allait arriver.
Est-ce que cette attitude est une attitude responsable et "citoyenne" ? Plutôt le contraire je dirais. Donc non, l'attitude de l'ingénieur est totalement irresponsable à mon sens, et n'aurait pas dû, rien que pour cela, publier le POC.
Après, il peut y avoir des 'circonstances aténuantes', j'entends par là que la faille qu'il avait découverte allait peut-être mettre du temps à être corrigée sans son intervention, etc, néanmoins, il a essayé de se positionner en défenseur de la sécurité, alors que c'est plutôt le contraire qu'il a fait.
Donc à mon sens, pour répondre pleinement à la question du topic : Fallait-il publier une preuve de faisabilité ? , je réponds non, bien sur que non, ou du moins certainement pas si tôt. Attendre que MS la corrige pour ensuite mettre l'histoire sur le tapis, et dire que MS a été lent, que c'était inadmissible & co. Là, ça aurait pu être bénéfique pour la sécurité.
Je pense que les POC ne devrait exister qu'a but "scientifique" ou "historique", un peu comme des démonstrations mathématiques.
Le mathématicien qui trouve comment casser RSA (système de crytage le plus utilisé, et notement par les banques, assurances...) doit-il le publier ? Ou attendre un peu que les choses aient changées, et que RSA ne soit plus si impliqué dans la sécurité, quitte à travailler pour l'écartement de RSA.
1) Les comparaisons : Si, utilisées à bon essient, elles peuvent permettre d'apporter de l'ouverture dans le débat, en mettant en avant de nouveaux éclairages.Envoyé par Hellwing
2)Le rapport découle de l'enchainement des topics. Entrer chez autrui par effraction et le voler => délit. Entrer chez quelqu'un par effraction et le tuer => crime. Les failles de sécurité peuvent permettre les 2 (Gagner de l'argent avec des bots, des spams, des spywares, ou alors espionner une compagnie, un pays, détruire une société...)
The magic of Opera, La magie de l'Opera
The mysteries of Space Opera, Les mystères de l'Opera Spatial
Mr. Know-it-all, M. Je-Sais-Tout
Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager