Là tu me surprends un peu. Aurais-tu un exemple concret de tels trous béants
qui ne serait pas lié à un bug(*) ?
(*) Ce que j'appelle du code robuste est du code permettant tant de limiter
l'apparition de bugs que leurs effets.
(les termes "exécution de code arbitraire" et "non-vérification des
entrées" impliquent souvent un débordement de tampon).
On y trouve un recensement des bugs repérés mais aucune analyse en
termes de design.
En particulier, il n'était pas rare à l'époque (celle du décollage
de Windows NT Server) qu'un même serveur fasse office de serveur de
domaine en même temps que de serveur Web, FTP ou mail, ce qui en
faisaient des cibles privilégiées.
Je ne dis pas que IIS est bien conçu, pas plus que je ne dis qu'il est
mal conçu. Je dis simplement que le type de failles me semblent du
même ordre que celles qu'on trouve ailleurs, et que leur nombre peut
s'expliquer tout autant par des explications purement humaines ou
sociologiques que par des problèmes de conception non sécurisée.
Mais précisément pour cette raison, plus le fait qu'il est impossible
d'auditer le code source, il est impossible d'établir une quelconque
mesure qui soit fiable voire simplement éclairée.
Il y a tout de même une assez forte corrélation.
Comme je l'ai dit plus haut, ce sont des références sérieuses en
matière de recensement des bugs mais qui n'apporte pas réellement
d'information technique (ceci dit, j'ai profité de l'occasion pour les
mettre dans mes favoris).
Là tu me surprends un peu. Aurais-tu un exemple concret de tels trous béants
qui ne serait pas lié à un bug(*) ?
(*) Ce que j'appelle du code robuste est du code permettant tant de limiter
l'apparition de bugs que leurs effets.
(les termes "exécution de code arbitraire" et "non-vérification des
entrées" impliquent souvent un débordement de tampon).
On y trouve un recensement des bugs repérés mais aucune analyse en
termes de design.
En particulier, il n'était pas rare à l'époque (celle du décollage
de Windows NT Server) qu'un même serveur fasse office de serveur de
domaine en même temps que de serveur Web, FTP ou mail, ce qui en
faisaient des cibles privilégiées.
Je ne dis pas que IIS est bien conçu, pas plus que je ne dis qu'il est
mal conçu. Je dis simplement que le type de failles me semblent du
même ordre que celles qu'on trouve ailleurs, et que leur nombre peut
s'expliquer tout autant par des explications purement humaines ou
sociologiques que par des problèmes de conception non sécurisée.
Mais précisément pour cette raison, plus le fait qu'il est impossible
d'auditer le code source, il est impossible d'établir une quelconque
mesure qui soit fiable voire simplement éclairée.
Il y a tout de même une assez forte corrélation.
Comme je l'ai dit plus haut, ce sont des références sérieuses en
matière de recensement des bugs mais qui n'apporte pas réellement
d'information technique (ceci dit, j'ai profité de l'occasion pour les
mettre dans mes favoris).
Là tu me surprends un peu. Aurais-tu un exemple concret de tels trous béants
qui ne serait pas lié à un bug(*) ?
(*) Ce que j'appelle du code robuste est du code permettant tant de limiter
l'apparition de bugs que leurs effets.
(les termes "exécution de code arbitraire" et "non-vérification des
entrées" impliquent souvent un débordement de tampon).
On y trouve un recensement des bugs repérés mais aucune analyse en
termes de design.
En particulier, il n'était pas rare à l'époque (celle du décollage
de Windows NT Server) qu'un même serveur fasse office de serveur de
domaine en même temps que de serveur Web, FTP ou mail, ce qui en
faisaient des cibles privilégiées.
Je ne dis pas que IIS est bien conçu, pas plus que je ne dis qu'il est
mal conçu. Je dis simplement que le type de failles me semblent du
même ordre que celles qu'on trouve ailleurs, et que leur nombre peut
s'expliquer tout autant par des explications purement humaines ou
sociologiques que par des problèmes de conception non sécurisée.
Mais précisément pour cette raison, plus le fait qu'il est impossible
d'auditer le code source, il est impossible d'établir une quelconque
mesure qui soit fiable voire simplement éclairée.
Il y a tout de même une assez forte corrélation.
Comme je l'ai dit plus haut, ce sont des références sérieuses en
matière de recensement des bugs mais qui n'apporte pas réellement
d'information technique (ceci dit, j'ai profité de l'occasion pour les
mettre dans mes favoris).
Il n'y a pas que les failles de programmation dans la vie.
(les termes "exécution de code arbitraire" et "non-vérification des
entrées" impliquent souvent un débordement de tampon).
Que de raccourcis... La quasi-totalité des failles sur des
applications Web dynamiques résultent de mauvaises vérifications des
entrées et ne sont pas pour autant des débordements de tampon (y'a
pas que les débordements de tampon dans la vie).
On y trouve un recensement des bugs repérés mais aucune analyse en
termes de design.
Il y a pas mal d'articles qui traînent sur la manière dont Windows
gère les RPC (ou plutôt gérait, puisque le SP2 apporte des
modifications). Il est communément admis que cette gestion est
structurellement faible.
En particulier, il n'était pas rare à l'époque (celle du décollage
de Windows NT Server) qu'un même serveur fasse office de serveur de
domaine en même temps que de serveur Web, FTP ou mail, ce qui en
faisaient des cibles privilégiées.
Parce qu'il n'existe aucun administrateur Unix pas compétent, et
aucune machine Unix sur Terre présentant autant de services...
Mais précisément pour cette raison, plus le fait qu'il est impossible
d'auditer le code source, il est impossible d'établir une quelconque
mesure qui soit fiable voire simplement éclairée.
On n'a pas besoin du code source pour étudier le fonctionnement d'un
programme. Voir MISC 14 sur le reverse engineering.
[Nombre de failles vs. utilisation du programme]Il y a tout de même une assez forte corrélation.
C'est faux, c'est contredit par les faits. IIS vs. Apache en est un
exemple parfait. On pourra citer aussi, dans des mesures moindres,
MySQL vs. SQL Server vs. Oracle, ou même Exchange vs. Sendmail.
Je pense qu'il faudrait penser à remettre un peu de rationalité dans
ce discours en s'appuyant sur des faits concrets et pas sur des
impressions.
Par exemple, établir une relation entre le nombre de
failles et la visibilité des logiciels est un lieu commun largement
mis à mal par les faits.
C'est la bonne excuse pour ne pas avouer
qu'on a du code mal foutu lorsqu'on est un éditeur important, que
Microsoft n'est d'ailleurs pas le seul à utiliser d'ailleurs (on
pensera à Oracle par exemple).
Il n'y a pas que les failles de programmation dans la vie.
(les termes "exécution de code arbitraire" et "non-vérification des
entrées" impliquent souvent un débordement de tampon).
Que de raccourcis... La quasi-totalité des failles sur des
applications Web dynamiques résultent de mauvaises vérifications des
entrées et ne sont pas pour autant des débordements de tampon (y'a
pas que les débordements de tampon dans la vie).
On y trouve un recensement des bugs repérés mais aucune analyse en
termes de design.
Il y a pas mal d'articles qui traînent sur la manière dont Windows
gère les RPC (ou plutôt gérait, puisque le SP2 apporte des
modifications). Il est communément admis que cette gestion est
structurellement faible.
En particulier, il n'était pas rare à l'époque (celle du décollage
de Windows NT Server) qu'un même serveur fasse office de serveur de
domaine en même temps que de serveur Web, FTP ou mail, ce qui en
faisaient des cibles privilégiées.
Parce qu'il n'existe aucun administrateur Unix pas compétent, et
aucune machine Unix sur Terre présentant autant de services...
Mais précisément pour cette raison, plus le fait qu'il est impossible
d'auditer le code source, il est impossible d'établir une quelconque
mesure qui soit fiable voire simplement éclairée.
On n'a pas besoin du code source pour étudier le fonctionnement d'un
programme. Voir MISC 14 sur le reverse engineering.
[Nombre de failles vs. utilisation du programme]
Il y a tout de même une assez forte corrélation.
C'est faux, c'est contredit par les faits. IIS vs. Apache en est un
exemple parfait. On pourra citer aussi, dans des mesures moindres,
MySQL vs. SQL Server vs. Oracle, ou même Exchange vs. Sendmail.
Je pense qu'il faudrait penser à remettre un peu de rationalité dans
ce discours en s'appuyant sur des faits concrets et pas sur des
impressions.
Par exemple, établir une relation entre le nombre de
failles et la visibilité des logiciels est un lieu commun largement
mis à mal par les faits.
C'est la bonne excuse pour ne pas avouer
qu'on a du code mal foutu lorsqu'on est un éditeur important, que
Microsoft n'est d'ailleurs pas le seul à utiliser d'ailleurs (on
pensera à Oracle par exemple).
Il n'y a pas que les failles de programmation dans la vie.
(les termes "exécution de code arbitraire" et "non-vérification des
entrées" impliquent souvent un débordement de tampon).
Que de raccourcis... La quasi-totalité des failles sur des
applications Web dynamiques résultent de mauvaises vérifications des
entrées et ne sont pas pour autant des débordements de tampon (y'a
pas que les débordements de tampon dans la vie).
On y trouve un recensement des bugs repérés mais aucune analyse en
termes de design.
Il y a pas mal d'articles qui traînent sur la manière dont Windows
gère les RPC (ou plutôt gérait, puisque le SP2 apporte des
modifications). Il est communément admis que cette gestion est
structurellement faible.
En particulier, il n'était pas rare à l'époque (celle du décollage
de Windows NT Server) qu'un même serveur fasse office de serveur de
domaine en même temps que de serveur Web, FTP ou mail, ce qui en
faisaient des cibles privilégiées.
Parce qu'il n'existe aucun administrateur Unix pas compétent, et
aucune machine Unix sur Terre présentant autant de services...
Mais précisément pour cette raison, plus le fait qu'il est impossible
d'auditer le code source, il est impossible d'établir une quelconque
mesure qui soit fiable voire simplement éclairée.
On n'a pas besoin du code source pour étudier le fonctionnement d'un
programme. Voir MISC 14 sur le reverse engineering.
[Nombre de failles vs. utilisation du programme]Il y a tout de même une assez forte corrélation.
C'est faux, c'est contredit par les faits. IIS vs. Apache en est un
exemple parfait. On pourra citer aussi, dans des mesures moindres,
MySQL vs. SQL Server vs. Oracle, ou même Exchange vs. Sendmail.
Je pense qu'il faudrait penser à remettre un peu de rationalité dans
ce discours en s'appuyant sur des faits concrets et pas sur des
impressions.
Par exemple, établir une relation entre le nombre de
failles et la visibilité des logiciels est un lieu commun largement
mis à mal par les faits.
C'est la bonne excuse pour ne pas avouer
qu'on a du code mal foutu lorsqu'on est un éditeur important, que
Microsoft n'est d'ailleurs pas le seul à utiliser d'ailleurs (on
pensera à Oracle par exemple).
On est parti de la difficulté de pirater une machine sans connaissance
préalable, et maintenant on arrive à une machine X dont on connaît
tout
Ce thread devient suffisamment
trollesque comme ça pour qu'on ne commence pas à en rajouter en plus
avec des "c'est pas ce que je voulais dire" ou "tu m'as mal compris".
On est parti de la difficulté de pirater une machine sans connaissance
préalable, et maintenant on arrive à une machine X dont on connaît
tout
Ce thread devient suffisamment
trollesque comme ça pour qu'on ne commence pas à en rajouter en plus
avec des "c'est pas ce que je voulais dire" ou "tu m'as mal compris".
On est parti de la difficulté de pirater une machine sans connaissance
préalable, et maintenant on arrive à une machine X dont on connaît
tout
Ce thread devient suffisamment
trollesque comme ça pour qu'on ne commence pas à en rajouter en plus
avec des "c'est pas ce que je voulais dire" ou "tu m'as mal compris".
Personnellement, je n'ai pas de parti pris. Je n'ai pas à m'excuser pour
telle ou telle erreur de la part de microsoft. Le but de tout ce que j'ai pu
dire dans ce thread consistait précisément à essayer d'obtenir des faits
réels et détaillés si possible pour bien distinguer l'information pertinente
du simple cliché.
Je n'arrive pas à lancer refexion x de mon poste windows sur mon serveur
Linux. Y a t'il qqe chose de particulier à configurer coté Linux
T'arrives pas à lancer Reflexion X ? Quelle bite !
Personnellement, je n'ai pas de parti pris. Je n'ai pas à m'excuser pour
telle ou telle erreur de la part de microsoft. Le but de tout ce que j'ai pu
dire dans ce thread consistait précisément à essayer d'obtenir des faits
réels et détaillés si possible pour bien distinguer l'information pertinente
du simple cliché.
Je n'arrive pas à lancer refexion x de mon poste windows sur mon serveur
Linux. Y a t'il qqe chose de particulier à configurer coté Linux
T'arrives pas à lancer Reflexion X ? Quelle bite !
Personnellement, je n'ai pas de parti pris. Je n'ai pas à m'excuser pour
telle ou telle erreur de la part de microsoft. Le but de tout ce que j'ai pu
dire dans ce thread consistait précisément à essayer d'obtenir des faits
réels et détaillés si possible pour bien distinguer l'information pertinente
du simple cliché.
Je n'arrive pas à lancer refexion x de mon poste windows sur mon serveur
Linux. Y a t'il qqe chose de particulier à configurer coté Linux
T'arrives pas à lancer Reflexion X ? Quelle bite !
...Mais IE reste
indispensable car certain site ne marche pas ou pas bien sous les autres (
mais rassurer vous j'en ai rencontrer peut être 10 sur des centaines que
j'ai visiter)
Et certaines applications qui requierent ie pour s'installer, Autocad
LT2000, Kaspersky 4.5.0.xx par ex.. Ou encore Giant antispyware
1.0.xxx qui réclame carrément ie6, mais comme, amha, il est plus
performant que Spysweeper 3.0.xxx, qui lui même est mieux que
PestPatrol 4.3.xx, alors j'ai cédé à ses caprices.
J'utilise FireFox depuis 0.82, parce qu'il est moins connu, des
plugins efficaces, et moins sujet à être troué comme ie.
...Mais IE reste
indispensable car certain site ne marche pas ou pas bien sous les autres (
mais rassurer vous j'en ai rencontrer peut être 10 sur des centaines que
j'ai visiter)
Et certaines applications qui requierent ie pour s'installer, Autocad
LT2000, Kaspersky 4.5.0.xx par ex.. Ou encore Giant antispyware
1.0.xxx qui réclame carrément ie6, mais comme, amha, il est plus
performant que Spysweeper 3.0.xxx, qui lui même est mieux que
PestPatrol 4.3.xx, alors j'ai cédé à ses caprices.
J'utilise FireFox depuis 0.82, parce qu'il est moins connu, des
plugins efficaces, et moins sujet à être troué comme ie.
...Mais IE reste
indispensable car certain site ne marche pas ou pas bien sous les autres (
mais rassurer vous j'en ai rencontrer peut être 10 sur des centaines que
j'ai visiter)
Et certaines applications qui requierent ie pour s'installer, Autocad
LT2000, Kaspersky 4.5.0.xx par ex.. Ou encore Giant antispyware
1.0.xxx qui réclame carrément ie6, mais comme, amha, il est plus
performant que Spysweeper 3.0.xxx, qui lui même est mieux que
PestPatrol 4.3.xx, alors j'ai cédé à ses caprices.
J'utilise FireFox depuis 0.82, parce qu'il est moins connu, des
plugins efficaces, et moins sujet à être troué comme ie.
