Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et
tout est secure tralalala...C'est bien beau les principes, mais quand il
n'y a personne pour auditer correctement du code, ben c'est l"économie
mondiale qui trinque !!!
Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.
Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :
<http://blog.cloudflare.com/the-hard-costs-of-heartbleed>
Donc l’estimation d'un milliard, c'est le minimum.
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.
Ca passe pour les mails comme pour tout, ça ne dépend pas du protocole, ça dépend du client, c'est lui qui vérifie la signature du certificat, c'est lui qui décide
Et là Bam, Bim, Boom.... -- https://medium.com/p/705b87339971
sedenion a écrit :
Ca passe pour les mails comme pour tout, ça ne dépend pas du protocole,
ça dépend du client, c'est lui qui vérifie la signature du certificat,
c'est lui qui décide
Et là Bam, Bim, Boom....
--
https://medium.com/p/705b87339971
Ca passe pour les mails comme pour tout, ça ne dépend pas du protocole, ça dépend du client, c'est lui qui vérifie la signature du certificat, c'est lui qui décide
Et là Bam, Bim, Boom.... -- https://medium.com/p/705b87339971
David Marec
Le 30-04-2014, The Mover a écrit :
David Marec a écrit :
Le 30-04-2014, The Mover a écrit :
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de dollars à une firme sur un mois je suis preneur.
Windows XP. Tout simplement.
Ha ben tiens, SSL ça ne marche que sur XP avec IE ?
Digressions.
Considérez tout de même que ce chiffre de 500 millions d'euros n'est qu'une farce.
Oui bien sur, mais dans le catégorie "faille qui coûte des millions", le logiciel libre à mis la barre très très très haut.
Vous éludez, évidemment.
On ne pouvait s'attendre à mieux, je suppose.
Le 30-04-2014, The Mover <the.mover@bsdmail.invalid> a écrit :
David Marec a écrit :
Le 30-04-2014, The Mover <the.mover@bsdmail.invalid> a écrit :
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions
de dollars à une firme sur un mois je suis preneur.
Windows XP. Tout simplement.
Ha ben tiens, SSL ça ne marche que sur XP avec IE ?
Digressions.
Considérez tout de même que ce chiffre de 500 millions d'euros n'est
qu'une farce.
Oui bien sur, mais dans le catégorie "faille qui coûte des millions", le
logiciel libre à mis la barre très très très haut.
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou pas, mais c'est autre débat).
Des 0-day, pourquoi ? Ces failles étaient présentes depuis quand à l'heure de leur publication ?
Et vous ne répondez pas à la question, évidemment.
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un closed-source (Win ou MAc).
Non. Ce n'était le propos. Rappelons que ce «propos», c'est vous qui l'avez posé.
Lorsque les réponses vous gènent, vous modifier la question ?
Combien ont coûté ces failles ?
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des pop-up sur le navigateur alors que les rares 0days sous *nix permettent un contrôle total du systéme (je baises les privilèges à l'endoit et à l'envers:!!!).
Ben voyons. C'est l'exact contraire.
L'une des failles Microsoft citée autorise l'execution de code avec élévation de privilège. Ni la faille OpenSSL ni celle de FreeBSD ne le permet.
Essaie encore.
Toutes ces failles permettent la divulgation d'information ou l'usurpation d'identité.
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous windwos ?
Vous commencez déjà à répondre à coté de la plaque ? Le débat tourne court.
Donc, une remise à plat des clefs, des indentifiants des mots de passe de tous les systèmes...
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?
Les failles décrites sont critiques et permettent le vol d'information. C'est écrit en toutes lettres.
Vous lisez les comptes rendus d'alerte de chez Microsoft ? Quel a été le coût des revocations sur les failles que j'ai donné ?
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les clefs qui n'ont pourtant pas changés ne sont plus vulnérables. Magique.
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière mise à jour pour ne pas être en rade... Ou avoir implémenter forward secrecy tout simplement...
Et alors ? Quelle différence avec une faille Microsoft ? Vous ne savez pas faire mieux que vous raccorcher aux branches ?
-- Do the hammer lock you turkey neck Do the crusher you turkey
Le 30-04-2014, The Mover <the.mover@bsdmail.invalid> a écrit :
Répondez vous même, combien ont coûté ces failles:
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou
pas, mais c'est autre débat).
Des 0-day, pourquoi ? Ces failles étaient présentes depuis quand à
l'heure de leur publication ?
Et vous ne répondez pas à la question, évidemment.
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un
closed-source (Win ou MAc).
Non.
Ce n'était le propos. Rappelons que ce «propos», c'est vous qui l'avez
posé.
Lorsque les réponses vous gènent, vous modifier la question ?
Combien ont coûté ces failles ?
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des
pop-up sur le navigateur alors que les rares 0days sous *nix permettent
un contrôle total du systéme (je baises les privilèges à l'endoit et à
l'envers:!!!).
Ben voyons.
C'est l'exact contraire.
L'une des failles Microsoft citée autorise l'execution de code avec élévation de
privilège.
Ni la faille OpenSSL ni celle de FreeBSD ne le permet.
Essaie encore.
Toutes ces failles permettent la divulgation d'information ou
l'usurpation d'identité.
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous
windwos ?
Vous commencez déjà à répondre à coté de la plaque ?
Le débat tourne court.
Donc, une remise à plat des clefs, des indentifiants des mots de passe
de tous les systèmes...
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me
semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?
Les failles décrites sont critiques et permettent le vol d'information.
C'est écrit en toutes lettres.
Vous lisez les comptes rendus d'alerte de chez Microsoft ?
Quel a été le coût des revocations sur les failles que j'ai donné ?
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à
jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les
clefs qui n'ont pourtant pas changés ne sont plus vulnérables.
Magique.
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière
mise à jour pour ne pas être en rade... Ou avoir implémenter forward
secrecy tout simplement...
Et alors ? Quelle différence avec une faille Microsoft ?
Vous ne savez pas faire mieux que vous raccorcher aux branches ?
--
Do the hammer lock you turkey neck
Do the crusher you turkey
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou pas, mais c'est autre débat).
Des 0-day, pourquoi ? Ces failles étaient présentes depuis quand à l'heure de leur publication ?
Et vous ne répondez pas à la question, évidemment.
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un closed-source (Win ou MAc).
Non. Ce n'était le propos. Rappelons que ce «propos», c'est vous qui l'avez posé.
Lorsque les réponses vous gènent, vous modifier la question ?
Combien ont coûté ces failles ?
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des pop-up sur le navigateur alors que les rares 0days sous *nix permettent un contrôle total du systéme (je baises les privilèges à l'endoit et à l'envers:!!!).
Ben voyons. C'est l'exact contraire.
L'une des failles Microsoft citée autorise l'execution de code avec élévation de privilège. Ni la faille OpenSSL ni celle de FreeBSD ne le permet.
Essaie encore.
Toutes ces failles permettent la divulgation d'information ou l'usurpation d'identité.
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous windwos ?
Vous commencez déjà à répondre à coté de la plaque ? Le débat tourne court.
Donc, une remise à plat des clefs, des indentifiants des mots de passe de tous les systèmes...
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?
Les failles décrites sont critiques et permettent le vol d'information. C'est écrit en toutes lettres.
Vous lisez les comptes rendus d'alerte de chez Microsoft ? Quel a été le coût des revocations sur les failles que j'ai donné ?
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les clefs qui n'ont pourtant pas changés ne sont plus vulnérables. Magique.
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière mise à jour pour ne pas être en rade... Ou avoir implémenter forward secrecy tout simplement...
Et alors ? Quelle différence avec une faille Microsoft ? Vous ne savez pas faire mieux que vous raccorcher aux branches ?
-- Do the hammer lock you turkey neck Do the crusher you turkey
The Mover
David Marec a écrit :
Le 30-04-2014, The Mover a écrit :
Répondez vous même, combien ont coûté ces failles:
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou pas, mais c'est autre débat).
Des 0-day, pourquoi ? Ces failles étaient présentes depuis quand à l'heure de leur publication ?
Non, j'avais lu les liens de travers
Et vous ne répondez pas à la question, évidemment.
Ben faudrait savoir le budget de microsoft pour ses questions de sécu. À part eux pas grand monde n'a du y mettre de sa poche : même si sa touche toute la gamme, c'est surtout sur l'ordi de bureau qu'ils dominent, pas le serveur.
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un closed-source (Win ou MAc).
Non. Ce n'était le propos. Rappelons que ce «propos», c'est vous qui l'avez posé.
Ben c'est plus ou moins le même prix, il suffit de regarder les primes dans les concours style "pwn2own".
Lorsque les réponses vous gènent, vous modifier la question ?
Pas du tout !
Combien ont coûté ces failles ?
Certainement beaucoup plus cher c'est évident, et ça va continuer de monter, alors que pour Opensll d'ici 2 à 3 mois se sera finit, le plus gros des dépenses étant même passé.
C'est l'article de Cloudfare qui m'a fait tiqué, je n’imaginais pas qu'une seule faille puisse couter aussi cher.
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des pop-up sur le navigateur alors que les rares 0days sous *nix permettent un contrôle total du systéme (je baises les privilèges à l'endoit et à l'envers:!!!).
Ben voyons. C'est l'exact contraire.
Le pop-up !!!
L'une des failles Microsoft citée autorise l'execution de code avec élévation de privilège.
C'est généralement le principe d'une faille, l'escalade de privilèges ou l'intrusion ni vu ni connu, si ça fait juste planter c'est un bug.
Ni la faille OpenSSL
Elle permettait le vol de données.
ni celle de FreeBSD ne le permet.
Cette faille va couter 2€ !
Essaie encore.
Et quelques milliers de Yen.
Toutes ces failles permettent la divulgation d'information ou l'usurpation d'identité.
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous windwos ?
Vous commencez déjà à répondre à coté de la plaque ?
Non, pourquoi ce vouvoiement soudain ?
Le débat tourne court.
Y'a pas débat, c'est plié: pour le moment Heartbleed est la plus grosse catastrophe industrielle de l'informatique.
Que microsoft soit pourri, tout le monde le sait, mais on parle pas de ça ici. D'ailleurs il ne communique pas trop justement sur le coût de toute ses failles, contrairement à Cloudflare.
Donc, une remise à plat des clefs, des indentifiants des mots de passe de tous les systèmes...
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?
Les failles décrites sont critiques et permettent le vol d'information. C'est écrit en toutes lettres.
Oui, j'ai bien relu cette fois.
Vous lisez les comptes rendus d'alerte de chez Microsoft ?
Pas vraiment, les autres un peu plus, en fait je lis seclists de temps en temps pas plus, sauf bleedage exceptionnel !
Quel a été le coût des revocations sur les failles que j'ai donné ?
Comme dit plus haut, je crois que microsoft ne communique pas à ce sujet.
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les clefs qui n'ont pourtant pas changés ne sont plus vulnérables. Magique.
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière mise à jour pour ne pas être en rade... Ou avoir implémenter forward secrecy tout simplement...
Et alors ? Quelle différence avec une faille Microsoft ?
Un code source ouvert, auditable par tous ?
Vous ne savez pas faire mieux que vous raccorcher aux branches ?
On connaît aujourd’hui le prix de la gratuité, ben c'est pas donné.
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement
ou pas, mais c'est autre débat).
Des 0-day, pourquoi ? Ces failles étaient présentes depuis quand à
l'heure de leur publication ?
Non, j'avais lu les liens de travers
Et vous ne répondez pas à la question, évidemment.
Ben faudrait savoir le budget de microsoft pour ses questions de sécu. À
part eux pas grand monde n'a du y mettre de sa poche : même si sa touche
toute la gamme, c'est surtout sur l'ordi de bureau qu'ils dominent, pas
le serveur.
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un
closed-source (Win ou MAc).
Non.
Ce n'était le propos. Rappelons que ce «propos», c'est vous qui l'avez
posé.
Ben c'est plus ou moins le même prix, il suffit de regarder les primes
dans les concours style "pwn2own".
Lorsque les réponses vous gènent, vous modifier la question ?
Pas du tout !
Combien ont coûté ces failles ?
Certainement beaucoup plus cher c'est évident, et ça va continuer de
monter, alors que pour Opensll d'ici 2 à 3 mois se sera finit, le plus
gros des dépenses étant même passé.
C'est l'article de Cloudfare qui m'a fait tiqué, je n’imaginais pas
qu'une seule faille puisse couter aussi cher.
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer
des pop-up sur le navigateur alors que les rares 0days sous *nix
permettent un contrôle total du systéme (je baises les privilèges à
l'endoit et à l'envers:!!!).
Ben voyons.
C'est l'exact contraire.
Le pop-up !!!
L'une des failles Microsoft citée autorise l'execution de code avec
élévation de privilège.
C'est généralement le principe d'une faille, l'escalade de privilèges ou
l'intrusion ni vu ni connu, si ça fait juste planter c'est un bug.
Ni la faille OpenSSL
Elle permettait le vol de données.
ni celle de FreeBSD ne le permet.
Cette faille va couter 2€ !
Essaie encore.
Et quelques milliers de Yen.
Toutes ces failles permettent la divulgation d'information ou
l'usurpation d'identité.
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous
windwos ?
Vous commencez déjà à répondre à coté de la plaque ?
Non, pourquoi ce vouvoiement soudain ?
Le débat tourne court.
Y'a pas débat, c'est plié: pour le moment Heartbleed est la plus grosse
catastrophe industrielle de l'informatique.
Que microsoft soit pourri, tout le monde le sait, mais on parle pas de ça
ici. D'ailleurs il ne communique pas trop justement sur le coût de toute
ses failles, contrairement à Cloudflare.
Donc, une remise à plat des clefs, des indentifiants des mots de passe
de tous les systèmes...
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me
semble la bonne pour le moment. T'as lu l'article, et le coüt des
révocs ?
Les failles décrites sont critiques et permettent le vol d'information.
C'est écrit en toutes lettres.
Oui, j'ai bien relu cette fois.
Vous lisez les comptes rendus d'alerte de chez Microsoft ?
Pas vraiment, les autres un peu plus, en fait je lis seclists de temps en
temps pas plus, sauf bleedage exceptionnel !
Quel a été le coût des revocations sur les failles que j'ai donné ?
Comme dit plus haut, je crois que microsoft ne communique pas à ce sujet.
Mais pas chez Windows. Chez Windows le problème se résoud par une mise
à jour. Les identitiés usurpées ne le sont plus, les mots de passe ou
les clefs qui n'ont pourtant pas changés ne sont plus vulnérables.
Magique.
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière
mise à jour pour ne pas être en rade... Ou avoir implémenter forward
secrecy tout simplement...
Et alors ? Quelle différence avec une faille Microsoft ?
Un code source ouvert, auditable par tous ?
Vous ne savez pas faire mieux que vous raccorcher aux branches ?
On connaît aujourd’hui le prix de la gratuité, ben c'est pas donné.
Ou plutôt, si personne n'a cherché à le calculer, pourquoi ?
Même histoire, répétée Adnoiseam: les 0days, ça se monnaye (légalement ou pas, mais c'est autre débat).
Des 0-day, pourquoi ? Ces failles étaient présentes depuis quand à l'heure de leur publication ?
Non, j'avais lu les liens de travers
Et vous ne répondez pas à la question, évidemment.
Ben faudrait savoir le budget de microsoft pour ses questions de sécu. À part eux pas grand monde n'a du y mettre de sa poche : même si sa touche toute la gamme, c'est surtout sur l'ordi de bureau qu'ils dominent, pas le serveur.
Faudrait comparer le prix d'une 0day d'un Os open-source et celui d'un closed-source (Win ou MAc).
Non. Ce n'était le propos. Rappelons que ce «propos», c'est vous qui l'avez posé.
Ben c'est plus ou moins le même prix, il suffit de regarder les primes dans les concours style "pwn2own".
Lorsque les réponses vous gènent, vous modifier la question ?
Pas du tout !
Combien ont coûté ces failles ?
Certainement beaucoup plus cher c'est évident, et ça va continuer de monter, alors que pour Opensll d'ici 2 à 3 mois se sera finit, le plus gros des dépenses étant même passé.
C'est l'article de Cloudfare qui m'a fait tiqué, je n’imaginais pas qu'une seule faille puisse couter aussi cher.
99,99% des 0days de systemes fermés ne permettent juste que d'envoyer des pop-up sur le navigateur alors que les rares 0days sous *nix permettent un contrôle total du systéme (je baises les privilèges à l'endoit et à l'envers:!!!).
Ben voyons. C'est l'exact contraire.
Le pop-up !!!
L'une des failles Microsoft citée autorise l'execution de code avec élévation de privilège.
C'est généralement le principe d'une faille, l'escalade de privilèges ou l'intrusion ni vu ni connu, si ça fait juste planter c'est un bug.
Ni la faille OpenSSL
Elle permettait le vol de données.
ni celle de FreeBSD ne le permet.
Cette faille va couter 2€ !
Essaie encore.
Et quelques milliers de Yen.
Toutes ces failles permettent la divulgation d'information ou l'usurpation d'identité.
Plus fort qu'Heartbleed ? Sans laisser de traces ? Nan, ça existe sous windwos ?
Vous commencez déjà à répondre à coté de la plaque ?
Non, pourquoi ce vouvoiement soudain ?
Le débat tourne court.
Y'a pas débat, c'est plié: pour le moment Heartbleed est la plus grosse catastrophe industrielle de l'informatique.
Que microsoft soit pourri, tout le monde le sait, mais on parle pas de ça ici. D'ailleurs il ne communique pas trop justement sur le coût de toute ses failles, contrairement à Cloudflare.
Donc, une remise à plat des clefs, des indentifiants des mots de passe de tous les systèmes...
Oui, bien sur, mais faut la bonne approche, et celle de Cloudflare me semble la bonne pour le moment. T'as lu l'article, et le coüt des révocs ?
Les failles décrites sont critiques et permettent le vol d'information. C'est écrit en toutes lettres.
Oui, j'ai bien relu cette fois.
Vous lisez les comptes rendus d'alerte de chez Microsoft ?
Pas vraiment, les autres un peu plus, en fait je lis seclists de temps en temps pas plus, sauf bleedage exceptionnel !
Quel a été le coût des revocations sur les failles que j'ai donné ?
Comme dit plus haut, je crois que microsoft ne communique pas à ce sujet.
Mais pas chez Windows. Chez Windows le problème se résoud par une mise à jour. Les identitiés usurpées ne le sont plus, les mots de passe ou les clefs qui n'ont pourtant pas changés ne sont plus vulnérables. Magique.
C'est vrai que sous OPenSSL il suffaisit juste de refuser la dernière mise à jour pour ne pas être en rade... Ou avoir implémenter forward secrecy tout simplement...
Et alors ? Quelle différence avec une faille Microsoft ?
Un code source ouvert, auditable par tous ?
Vous ne savez pas faire mieux que vous raccorcher aux branches ?
On connaît aujourd’hui le prix de la gratuité, ben c'est pas donné.
Non, on a deux cas de positions dominantes et un coût à payer quand sa foire: pour Openssl c'est à sec, plusieurs millions sur quelques mois, alors qu'avec windows c'est vaseliné tous les jours.
On ne pouvait s'attendre à mieux, je suppose.
KC !!!
-- https://medium.com/message/af8673796c44
David Marec a écrit :
Vous éludez, évidemment.
Non, on a deux cas de positions dominantes et un coût à payer quand sa
foire: pour Openssl c'est à sec, plusieurs millions sur quelques mois,
alors qu'avec windows c'est vaseliné tous les jours.
Non, on a deux cas de positions dominantes et un coût à payer quand sa foire: pour Openssl c'est à sec, plusieurs millions sur quelques mois, alors qu'avec windows c'est vaseliné tous les jours.
On ne pouvait s'attendre à mieux, je suppose.
KC !!!
-- https://medium.com/message/af8673796c44
The Mover
NiKo a écrit :
Non, avec Windows, on ne sait pas
On sait que Linux coute cher même si on l'utilise pas.
Yen a marre de l'assistanat. -- http://dumb.domains
NiKo a écrit :
Non, avec Windows, on ne sait pas
On sait que Linux coute cher même si on l'utilise pas.
Yen a marre de l'assistanat.
--
http://dumb.domains
Le logiciel libre mutualise plus ses pertes que la Bourse.
-- http://dumb.domains
Ascadix
The Mover avait énoncé :
Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et tout est secure tralalala...C'est bien beau les principes, mais quand il n'y a personne pour auditer correctement du code, ben c'est l"économie mondiale qui trinque !!!
Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie mondiale, certainement le double.
Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va continuer : <http://blog.cloudflare.com/the-hard-costs-of-heartbleed>
Donc l’estimation d'un milliard, c'est le minimum.
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de dollars à une firme sur un mois je suis preneur.
Sans même hearthbleed, SSL est plus une machine à générer des couts inutiles qu'un outils de sécurité.
SSL dans son concept même et dans son implémentation de fait dans pas mal de systémes, c'est le nec plus ultra, le saint graal de l'obsolécence programmé. Tu bidouille dans un systéme info, et tu peux définir précisément à l'avance à quelle date tout va planter et arréter de fonctionner. Y a plus qu'a rajouter qq contraintes bien chiantes (oh ..et payantes, genre root CA bie nconnue, éviter que ça soit trop facilement reconfigurable ... et hop, bonne grosse facture pour rétablir le service aprés une mise hors service soigneusement planifiée.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
The Mover avait énoncé :
Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et
tout est secure tralalala...C'est bien beau les principes, mais quand il
n'y a personne pour auditer correctement du code, ben c'est l"économie
mondiale qui trinque !!!
Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie
mondiale, certainement le double.
Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va
continuer :
<http://blog.cloudflare.com/the-hard-costs-of-heartbleed>
Donc l’estimation d'un milliard, c'est le minimum.
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de
dollars à une firme sur un mois je suis preneur.
Sans même hearthbleed, SSL est plus une machine à générer des couts
inutiles qu'un outils de sécurité.
SSL dans son concept même et dans son implémentation de fait dans pas
mal de systémes, c'est le nec plus ultra, le saint graal de
l'obsolécence programmé. Tu bidouille dans un systéme info, et tu peux
définir précisément à l'avance à quelle date tout va planter et arréter
de fonctionner. Y a plus qu'a rajouter qq contraintes bien chiantes (oh
..et payantes, genre root CA bie nconnue, éviter que ça soit trop
facilement reconfigurable ... et hop, bonne grosse facture pour
rétablir le service aprés une mise hors service soigneusement
planifiée.
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Le logiciel libre c'est bien, la sécurité par l'obscurité c'est caca et tout est secure tralalala...C'est bien beau les principes, mais quand il n'y a personne pour auditer correctement du code, ben c'est l"économie mondiale qui trinque !!!
Je pense qu'Heartbleed coûtera au minimum 1 milliards de $ à l’économie mondiale, certainement le double.
Ça a déjà couté 500 millions de $ à cloudfare, sur un mois et ça va continuer : <http://blog.cloudflare.com/the-hard-costs-of-heartbleed>
Donc l’estimation d'un milliard, c'est le minimum.
Si vous avez l'exemple d'une faille windows qui a coûtée 500 millions de dollars à une firme sur un mois je suis preneur.
Sans même hearthbleed, SSL est plus une machine à générer des couts inutiles qu'un outils de sécurité.
SSL dans son concept même et dans son implémentation de fait dans pas mal de systémes, c'est le nec plus ultra, le saint graal de l'obsolécence programmé. Tu bidouille dans un systéme info, et tu peux définir précisément à l'avance à quelle date tout va planter et arréter de fonctionner. Y a plus qu'a rajouter qq contraintes bien chiantes (oh ..et payantes, genre root CA bie nconnue, éviter que ça soit trop facilement reconfigurable ... et hop, bonne grosse facture pour rétablir le service aprés une mise hors service soigneusement planifiée.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
william
On 2014-05-14, Ascadix wrote:
Sans même hearthbleed, SSL est plus une machine à générer des couts inutiles qu'un outils de sécurité.
SSL dans son concept même et dans son implémentation de fait dans pas mal de systémes, c'est le nec plus ultra, le saint graal de l'obsolécence programmé. Tu bidouille dans un systéme info, et tu peux définir précisément à l'avance à quelle date tout va planter et arréter de fonctionner.
C'est vrai yaka utiliser un nombre premier de taille infini, comme ca c'est ultra secure. D'ailleurs, on n'a jamais pu savoir si c'est hackable ou pas, puique la verification est prend aussi un temps infini ...
Y a plus qu'a rajouter qq contraintes bien chiantes (oh ..et payantes, genre root CA bie nconnue, éviter que ça soit trop facilement reconfigurable ... et hop, bonne grosse facture pour rétablir le service aprés une mise hors service soigneusement planifiée.
On 2014-05-14, Ascadix <ascadix.ng@free.fr> wrote:
Sans même hearthbleed, SSL est plus une machine à générer des couts
inutiles qu'un outils de sécurité.
SSL dans son concept même et dans son implémentation de fait dans pas
mal de systémes, c'est le nec plus ultra, le saint graal de
l'obsolécence programmé. Tu bidouille dans un systéme info, et tu peux
définir précisément à l'avance à quelle date tout va planter et arréter
de fonctionner.
C'est vrai yaka utiliser un nombre premier de taille infini, comme ca c'est
ultra secure. D'ailleurs, on n'a jamais pu savoir si c'est hackable ou pas,
puique la verification est prend aussi un temps infini ...
Y a plus qu'a rajouter qq contraintes bien chiantes (oh
..et payantes, genre root CA bie nconnue, éviter que ça soit trop
facilement reconfigurable ... et hop, bonne grosse facture pour
rétablir le service aprés une mise hors service soigneusement
planifiée.
Sans même hearthbleed, SSL est plus une machine à générer des couts inutiles qu'un outils de sécurité.
SSL dans son concept même et dans son implémentation de fait dans pas mal de systémes, c'est le nec plus ultra, le saint graal de l'obsolécence programmé. Tu bidouille dans un systéme info, et tu peux définir précisément à l'avance à quelle date tout va planter et arréter de fonctionner.
C'est vrai yaka utiliser un nombre premier de taille infini, comme ca c'est ultra secure. D'ailleurs, on n'a jamais pu savoir si c'est hackable ou pas, puique la verification est prend aussi un temps infini ...
Y a plus qu'a rajouter qq contraintes bien chiantes (oh ..et payantes, genre root CA bie nconnue, éviter que ça soit trop facilement reconfigurable ... et hop, bonne grosse facture pour rétablir le service aprés une mise hors service soigneusement planifiée.
