Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Razny
Le Sat, 14 Jun 2008 11:04:58 +0000, Fred a écrit :
Le programme gagnant est subtil : http://underhanded.xcott.com/?page_id=9
Sympa en effet.
Pour ceux qui ne programment pas le résumé du programme gagnant pourrait être interprété, amha, comme :
1 - des interactions entres des "petites" erreurs difficilement décelables peuvent conduire à des catastrophes. Il est donc illusoire de penser que des outils automatiques d'audit soient plus qu'une aide. De même un programme, bien qu'audité soigneusement peut conserver des erreurs pouvant mener à des compromission de système.
L'abonnement aux listes de sécu de vos OS/logiciels et la mise à jour de sécu des mêmes OS/logiciels est indispensable[1]
2 - un codeur malicieux peut programmer une backdoor, une fuite d'info(en particulier dans le cas de la crypto) en simulant une "simple" maladresse de programmation. Qui a dit parano? :)
Pour les autres programmes, un exemple célèbre de mauvais emploi de RC4 est le WEP. Pour l'absence d'entropie la plaisanterie debian avec ssl suffit à elle même.
-- Eric.
[1] Pour les "pro", la vérification d'absence de régression si on applique le patch est bien entendu de rigueur :) De même qu'on peut différer une mise à jour en connaissant les tenants et aboutissants du problème.
Le Sat, 14 Jun 2008 11:04:58 +0000, Fred a écrit :
Le programme gagnant est subtil :
http://underhanded.xcott.com/?page_id=9
Sympa en effet.
Pour ceux qui ne programment pas le résumé du programme gagnant pourrait
être interprété, amha, comme :
1 - des interactions entres des "petites" erreurs difficilement
décelables peuvent conduire à des catastrophes. Il est donc illusoire de
penser que des outils automatiques d'audit soient plus qu'une aide. De
même un programme, bien qu'audité soigneusement peut conserver des
erreurs pouvant mener à des compromission de système.
L'abonnement aux listes de sécu de vos OS/logiciels et la mise à
jour de sécu des mêmes OS/logiciels est indispensable[1]
2 - un codeur malicieux peut programmer une backdoor, une fuite d'info(en
particulier dans le cas de la crypto) en simulant une "simple" maladresse
de programmation. Qui a dit parano? :)
Pour les autres programmes, un exemple célèbre de mauvais emploi de RC4
est le WEP. Pour l'absence d'entropie la plaisanterie debian avec ssl
suffit à elle même.
--
Eric.
[1] Pour les "pro", la vérification d'absence de régression si on
applique le patch est bien entendu de rigueur :) De même qu'on peut
différer une mise à jour en connaissant les tenants et aboutissants du
problème.
Le Sat, 14 Jun 2008 11:04:58 +0000, Fred a écrit :
Le programme gagnant est subtil : http://underhanded.xcott.com/?page_id=9
Sympa en effet.
Pour ceux qui ne programment pas le résumé du programme gagnant pourrait être interprété, amha, comme :
1 - des interactions entres des "petites" erreurs difficilement décelables peuvent conduire à des catastrophes. Il est donc illusoire de penser que des outils automatiques d'audit soient plus qu'une aide. De même un programme, bien qu'audité soigneusement peut conserver des erreurs pouvant mener à des compromission de système.
L'abonnement aux listes de sécu de vos OS/logiciels et la mise à jour de sécu des mêmes OS/logiciels est indispensable[1]
2 - un codeur malicieux peut programmer une backdoor, une fuite d'info(en particulier dans le cas de la crypto) en simulant une "simple" maladresse de programmation. Qui a dit parano? :)
Pour les autres programmes, un exemple célèbre de mauvais emploi de RC4 est le WEP. Pour l'absence d'entropie la plaisanterie debian avec ssl suffit à elle même.
-- Eric.
[1] Pour les "pro", la vérification d'absence de régression si on applique le patch est bien entendu de rigueur :) De même qu'on peut différer une mise à jour en connaissant les tenants et aboutissants du problème.
