Le 12-04-2014, pehache nous expliquait dans fr.comp.os.linux.debats
(...)
C'est un peu là où je voulais en venir. Si une faille majeure peut subsister 2 ans dans un code aussi sensible et aussi utilisé, ça met un sacré coup à l'argument en pratique.
Je pense que Snowden a démontré ce que tout le monde savait déjà depuis longtemps : La sécurité informatique est une illusion, une sorte de Graal inatteignable qui, de toutes façons, est noyauté à la base par les services secrets du monde entier.
De l'aveu même du developpeur, cette faille est à mettre sur le dos de son incompétence. Ça me parait *énorme*.
Mais il parait que plus c'est gros et plus ça passe.
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Ou qu'un "tiers" l'a découverte et a rendu sa découverte publique, contrairement à d'autres. Voir p.ex.: http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
Le 12/04/2014 13:12, Doug713705 a écrit :
Le 12-04-2014, pehache nous expliquait dans
fr.comp.os.linux.debats
(...)
C'est un peu là où je voulais en venir. Si une faille majeure peut
subsister 2 ans dans un code aussi sensible et aussi utilisé, ça met un
sacré coup à l'argument en pratique.
Je pense que Snowden a démontré ce que tout le monde savait déjà depuis
longtemps :
La sécurité informatique est une illusion, une sorte de Graal
inatteignable qui, de toutes façons, est noyauté à la base par les
services secrets du monde entier.
De l'aveu même du developpeur, cette faille est à mettre sur le dos de
son incompétence. Ça me parait *énorme*.
Mais il parait que plus c'est gros et plus ça passe.
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je
dirai que cete faille a été bouchée uniquement parce qu'une autre bien
plus exploitable a été préalablement créée par ailleurs.
Ou qu'un "tiers" l'a découverte et a rendu sa découverte publique,
contrairement à d'autres.
Voir p.ex.:
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
Le 12-04-2014, pehache nous expliquait dans fr.comp.os.linux.debats
(...)
C'est un peu là où je voulais en venir. Si une faille majeure peut subsister 2 ans dans un code aussi sensible et aussi utilisé, ça met un sacré coup à l'argument en pratique.
Je pense que Snowden a démontré ce que tout le monde savait déjà depuis longtemps : La sécurité informatique est une illusion, une sorte de Graal inatteignable qui, de toutes façons, est noyauté à la base par les services secrets du monde entier.
De l'aveu même du developpeur, cette faille est à mettre sur le dos de son incompétence. Ça me parait *énorme*.
Mais il parait que plus c'est gros et plus ça passe.
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Ou qu'un "tiers" l'a découverte et a rendu sa découverte publique, contrairement à d'autres. Voir p.ex.: http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
Baton .rouge
On Sat, 12 Apr 2014 10:42:50 +0200, Jerome Lambert wrote:
Le 12/04/2014 10:17, David Marec a écrit :
Le 12-04-2014, pehache a écrit :
Les logiciels libres c'est plus sûr : tout le monde peut lire et auditer le code.
Tout à fait. C'est d'ailleurs exactement ce qui s'est passé pour OpenSSL. Le code et la faille ont été trouvés par une équipe tierce.
Alors qu'elle serait présente depuis 2 ans...
Si le code avait été fermé, il serait toujours pas corrigé.
-- Les assistés du CAC 40 : http://www.youtube.com/watch?feature=player_detailpage&v=W5Yx_diRxA8#tH
On Sat, 12 Apr 2014 10:42:50 +0200, Jerome Lambert wrote:
Le 12/04/2014 10:17, David Marec a écrit :
Le 12-04-2014, pehache a écrit :
Les logiciels libres c'est plus sûr : tout le monde peut lire et auditer le code.
Tout à fait. C'est d'ailleurs exactement ce qui s'est passé pour OpenSSL. Le code et la faille ont été trouvés par une équipe tierce.
Alors qu'elle serait présente depuis 2 ans...
Si le code avait été fermé, il serait toujours pas corrigé.
-- Les assistés du CAC 40 : http://www.youtube.com/watch?feature=player_detailpage&v=W5Yx_diRxA8#tH
pehache
Le 12/04/2014 13:39, Nicolas George a écrit :
pehache , dans le message , a écrit :
C'est un peu là où je voulais en venir. Si une faille majeure peut subsister 2 ans dans un code aussi sensible et aussi utilisé, ça met un sacré coup à l'argument en pratique.
Apparemment, tu ne comprends pas le sens d'une comparaison. Il a été dit que le code libre est plus sûr que le code propriétaire du fait de la possibilité de relecture, et c'est bien exact. De même, 0,005 est plus grand que 0,002, même si tous les deux sont tout petits.
Dans la famille des arguments exacts, on trouve les arguments fallacieux.
Le 12/04/2014 13:39, Nicolas George a écrit :
pehache , dans le message <bqsh24Fu9pfU1@mid.individual.net>, a écrit :
C'est un peu là où je voulais en venir. Si une faille majeure peut
subsister 2 ans dans un code aussi sensible et aussi utilisé, ça met un
sacré coup à l'argument en pratique.
Apparemment, tu ne comprends pas le sens d'une comparaison. Il a été dit que
le code libre est plus sûr que le code propriétaire du fait de la
possibilité de relecture, et c'est bien exact. De même, 0,005 est plus grand
que 0,002, même si tous les deux sont tout petits.
Dans la famille des arguments exacts, on trouve les arguments fallacieux.
C'est un peu là où je voulais en venir. Si une faille majeure peut subsister 2 ans dans un code aussi sensible et aussi utilisé, ça met un sacré coup à l'argument en pratique.
Apparemment, tu ne comprends pas le sens d'une comparaison. Il a été dit que le code libre est plus sûr que le code propriétaire du fait de la possibilité de relecture, et c'est bien exact. De même, 0,005 est plus grand que 0,002, même si tous les deux sont tout petits.
Dans la famille des arguments exacts, on trouve les arguments fallacieux.
Yliur
Le Sat, 12 Apr 2014 19:12:01 +0200 pehache a écrit :
Le 12/04/2014 13:39, Nicolas George a écrit : > pehache , dans le message , a > écrit : >> C'est un peu là où je voulais en venir. Si une faille majeure peut >> subsister 2 ans dans un code aussi sensible et aussi utilisé, ça >> met un sacré coup à l'argument en pratique. > > Apparemment, tu ne comprends pas le sens d'une comparaison. Il a > été dit que le code libre est plus sûr que le code propriétaire du > fait de la possibilité de relecture, et c'est bien exact. De même, > 0,005 est plus grand que 0,002, même si tous les deux sont tout > petits. >
Dans la famille des arguments exacts, on trouve les arguments fallacieux.
Je suis d'accord avec Nicolas : regarder juste un exemple n'est pas une comparaison. Ni une estimation de la qualité/sécurité de ce code : un seul exemple ne permet pas de déterminer si ce code est très sûr ou non et de comparer son niveau de fiabilité à celui d'une autre appli.
Personne n'a dit que les bugs étaient automatiquement détectés dans les logiciels libres comme par magie, y compris dans des systèmes sensibles (quand il y a un trou dans Apache, c'est bien la merde aussi...). Ce n'est rien de nouveau : il y a des erreurs dans les logiciels, y compris ceux qui sont sensibles. Et rien dans le simple fait qu'un bug a été découvert ne permet de mesurer le niveau de qualité de l'ensemble.
Le Sat, 12 Apr 2014 19:12:01 +0200
pehache <pehache.7@gmail.com> a écrit :
Le 12/04/2014 13:39, Nicolas George a écrit :
> pehache , dans le message <bqsh24Fu9pfU1@mid.individual.net>, a
> écrit :
>> C'est un peu là où je voulais en venir. Si une faille majeure peut
>> subsister 2 ans dans un code aussi sensible et aussi utilisé, ça
>> met un sacré coup à l'argument en pratique.
>
> Apparemment, tu ne comprends pas le sens d'une comparaison. Il a
> été dit que le code libre est plus sûr que le code propriétaire du
> fait de la possibilité de relecture, et c'est bien exact. De même,
> 0,005 est plus grand que 0,002, même si tous les deux sont tout
> petits.
>
Dans la famille des arguments exacts, on trouve les arguments
fallacieux.
Je suis d'accord avec Nicolas : regarder juste un exemple n'est pas une
comparaison. Ni une estimation de la qualité/sécurité de ce code : un
seul exemple ne permet pas de déterminer si ce code est très sûr ou
non et de comparer son niveau de fiabilité à celui d'une autre appli.
Personne n'a dit que les bugs étaient automatiquement détectés dans les
logiciels libres comme par magie, y compris dans des systèmes sensibles
(quand il y a un trou dans Apache, c'est bien la merde aussi...). Ce
n'est rien de nouveau : il y a des erreurs dans les logiciels, y
compris ceux qui sont sensibles. Et rien dans le simple fait qu'un bug
a été découvert ne permet de mesurer le niveau de qualité de l'ensemble.
Le Sat, 12 Apr 2014 19:12:01 +0200 pehache a écrit :
Le 12/04/2014 13:39, Nicolas George a écrit : > pehache , dans le message , a > écrit : >> C'est un peu là où je voulais en venir. Si une faille majeure peut >> subsister 2 ans dans un code aussi sensible et aussi utilisé, ça >> met un sacré coup à l'argument en pratique. > > Apparemment, tu ne comprends pas le sens d'une comparaison. Il a > été dit que le code libre est plus sûr que le code propriétaire du > fait de la possibilité de relecture, et c'est bien exact. De même, > 0,005 est plus grand que 0,002, même si tous les deux sont tout > petits. >
Dans la famille des arguments exacts, on trouve les arguments fallacieux.
Je suis d'accord avec Nicolas : regarder juste un exemple n'est pas une comparaison. Ni une estimation de la qualité/sécurité de ce code : un seul exemple ne permet pas de déterminer si ce code est très sûr ou non et de comparer son niveau de fiabilité à celui d'une autre appli.
Personne n'a dit que les bugs étaient automatiquement détectés dans les logiciels libres comme par magie, y compris dans des systèmes sensibles (quand il y a un trou dans Apache, c'est bien la merde aussi...). Ce n'est rien de nouveau : il y a des erreurs dans les logiciels, y compris ceux qui sont sensibles. Et rien dans le simple fait qu'un bug a été découvert ne permet de mesurer le niveau de qualité de l'ensemble.
ST
On 2014-04-12, Doug713705 wrote:
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
C'est, en effet, très probablement ce qui s'est passé.
-- François la sens-tu qui se glisse dans ton cul, la quenelle ?
On 2014-04-12, Doug713705 <doug.letough@free.fr> wrote:
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je
dirai que cete faille a été bouchée uniquement parce qu'une autre bien
plus exploitable a été préalablement créée par ailleurs.
C'est, en effet, très probablement ce qui s'est passé.
--
François la sens-tu qui se glisse dans ton cul, la quenelle ?
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
C'est, en effet, très probablement ce qui s'est passé.
-- François la sens-tu qui se glisse dans ton cul, la quenelle ?
David Marec
Le 12-04-2014, Jerome Lambert a écrit :
C'est d'ailleurs exactement ce qui s'est passé pour OpenSSL. Le code et la faille ont été trouvés par une équipe tierce.
Alors qu'elle serait présente depuis 2 ans...
Et ?
Le 12-04-2014, Jerome Lambert <jerome.lambert@swing.be> a écrit :
C'est d'ailleurs exactement ce qui s'est passé pour OpenSSL. Le code et
la faille ont été trouvés par une équipe tierce.
Tiens çà nous ramène á la révolution arabe, et une boite de je ne sais ou, qui collaborai avec les amies des droits de l'hommistes, certaine ment que dix ans, c'est que soi on est au pays des aveugles, avec des linu xiens bornes ?
Ptilou
Le samedi 12 avril 2014 08:20:53 UTC+1, pehache a écrit :
Les logiciels libres c'est plus sûr : tout le monde peut lire et audite r
Tiens çà nous ramène á la révolution arabe, et une boite de je ne sais ou, qui collaborai avec les amies des droits de l'hommistes, certaine ment que dix ans, c'est que soi on est au pays des aveugles, avec des linu xiens bornes ?
Tiens çà nous ramène á la révolution arabe, et une boite de je ne sais ou, qui collaborai avec les amies des droits de l'hommistes, certaine ment que dix ans, c'est que soi on est au pays des aveugles, avec des linu xiens bornes ?
Ptilou
The Mover
Doug713705 a écrit :
Ce qui est fou par contre c'est qu'un code aussi sensible n'ait pas été audité plus sérieusement plus tôt.
Tu m'étonnes 2 ans pour trouver une faille due à une erreur de prog...Même pas besoin de fuzzing...
Sinon c'était bien cette faille qui au nom du secret d'état a fait annuler une conf à CanSecWest cette année ?
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
Doug713705 a écrit :
Ce qui est fou par contre c'est qu'un code aussi sensible n'ait pas été
audité plus sérieusement plus tôt.
Tu m'étonnes 2 ans pour trouver une faille due à une erreur de prog...Même
pas besoin de fuzzing...
Sinon c'était bien cette faille qui au nom du secret d'état a fait
annuler une conf à CanSecWest cette année ?
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
