Je ne parle pas de la facilité à auditer le code, mais le fait qu'il soit ou non effectivement audité. Les développeurs d'OpenBSD (et donc d'OpenSSH) sont connus pour être intransigeants (je pourrais être plus
<Troll> On parle des mêmes développeurs intransigeants qui se font hacker le ftp et remplacer openssh par une version backdoorée sur le ftp officiel ?</Troll>
En tout cas l'historique d'openssh montre au contraire certaines erreurs qui n'auraient jamais du passer à ce type d'audit.
Google.
Heureusement que toutes les opérations effectuées sur la planete ne se retrouvent pas dans google :) plus sérieusement le code de webmin est régulièrement audité, en ce qui concerne l'équipe interne je n'en sais rien mais en tout cas pour avoir déjà publier une vulnérabilité sur ce dernier, je peux dire qu'ils réagissent rapidement. De plus une vulnérabilité dans webmin (interprété) peut être corrigé rapidement par soi même, ce qui est loin d'être à la portée de tout le monde dans openssh.
Bien d'accord. Mais j'ai sans doute fait l'amalgame parce qu'OpenSSH est l'implémentation la plus répandue ? Et de même, Webmin peut-être atteint d'une faille, et HTTPS d'une autre.
C'est valable pour n'importe quel protocole et application réseau, ce n'est pas propre à webmin.
Et tu me dis qu'il est facile à auditer ? On pourrait troller longtemps sur la lisibilité de Perl ... :-)
Il y a des gens très compétent sur le langage perl, qui permettent d'effectuer ce type d'opération très simplement. De plus tu devrais regarder le code de webmin, qui est très clair même pour quelqu'un ne maitrisant pas le perl (j'ai écris et modifié des modules webmin alors que je ne connaissais pas la syntaxe du langage perl)
Je ne parle pas de la facilité à auditer le code, mais le fait qu'il
soit ou non effectivement audité. Les développeurs d'OpenBSD (et donc
d'OpenSSH) sont connus pour être intransigeants (je pourrais être plus
<Troll> On parle des mêmes développeurs intransigeants qui se font hacker le
ftp et remplacer openssh par une version backdoorée sur le ftp
officiel ?</Troll>
En tout cas l'historique d'openssh montre au contraire certaines erreurs qui
n'auraient jamais du passer à ce type d'audit.
Google.
Heureusement que toutes les opérations effectuées sur la planete ne se
retrouvent pas dans google :) plus sérieusement le code de webmin est
régulièrement audité, en ce qui concerne l'équipe interne je n'en sais rien
mais en tout cas pour avoir déjà publier une vulnérabilité sur ce dernier,
je peux dire qu'ils réagissent rapidement. De plus une vulnérabilité dans
webmin (interprété) peut être corrigé rapidement par soi même, ce qui est
loin d'être à la portée de tout le monde dans openssh.
Bien d'accord. Mais j'ai sans doute fait l'amalgame parce qu'OpenSSH est
l'implémentation la plus répandue ? Et de même, Webmin peut-être atteint
d'une faille, et HTTPS d'une autre.
C'est valable pour n'importe quel protocole et application réseau, ce n'est
pas propre à webmin.
Et tu me dis qu'il est facile à auditer ? On pourrait troller longtemps
sur la lisibilité de Perl ... :-)
Il y a des gens très compétent sur le langage perl, qui permettent
d'effectuer ce type d'opération très simplement. De plus tu devrais
regarder le code de webmin, qui est très clair même pour quelqu'un ne
maitrisant pas le perl (j'ai écris et modifié des modules webmin alors que
je ne connaissais pas la syntaxe du langage perl)
Je ne parle pas de la facilité à auditer le code, mais le fait qu'il soit ou non effectivement audité. Les développeurs d'OpenBSD (et donc d'OpenSSH) sont connus pour être intransigeants (je pourrais être plus
<Troll> On parle des mêmes développeurs intransigeants qui se font hacker le ftp et remplacer openssh par une version backdoorée sur le ftp officiel ?</Troll>
En tout cas l'historique d'openssh montre au contraire certaines erreurs qui n'auraient jamais du passer à ce type d'audit.
Google.
Heureusement que toutes les opérations effectuées sur la planete ne se retrouvent pas dans google :) plus sérieusement le code de webmin est régulièrement audité, en ce qui concerne l'équipe interne je n'en sais rien mais en tout cas pour avoir déjà publier une vulnérabilité sur ce dernier, je peux dire qu'ils réagissent rapidement. De plus une vulnérabilité dans webmin (interprété) peut être corrigé rapidement par soi même, ce qui est loin d'être à la portée de tout le monde dans openssh.
Bien d'accord. Mais j'ai sans doute fait l'amalgame parce qu'OpenSSH est l'implémentation la plus répandue ? Et de même, Webmin peut-être atteint d'une faille, et HTTPS d'une autre.
C'est valable pour n'importe quel protocole et application réseau, ce n'est pas propre à webmin.
Et tu me dis qu'il est facile à auditer ? On pourrait troller longtemps sur la lisibilité de Perl ... :-)
Il y a des gens très compétent sur le langage perl, qui permettent d'effectuer ce type d'opération très simplement. De plus tu devrais regarder le code de webmin, qui est très clair même pour quelqu'un ne maitrisant pas le perl (j'ai écris et modifié des modules webmin alors que je ne connaissais pas la syntaxe du langage perl)
