Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Prasutagus
Le 08/06/2014 09:27, Leger a écrit :
Bonjour,
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable. Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à toucher à ça? On a qu'à revenir dans l'état où était ce programme il y a deux ans. Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bon week-end.
Ici ça parle d'une faille présente depuis 15 ans <http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-changecipherspec-actualite-1891172.html>
-- Ni Gourou Ni Maitre
Le 08/06/2014 09:27, Leger a écrit :
Bonjour,
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bon week-end.
Ici ça parle d'une faille présente depuis 15 ans
<http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-changecipherspec-actualite-1891172.html>
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable. Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à toucher à ça? On a qu'à revenir dans l'état où était ce programme il y a deux ans. Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bon week-end.
Ici ça parle d'une faille présente depuis 15 ans <http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-changecipherspec-actualite-1891172.html>
-- Ni Gourou Ni Maitre
Jean-Francois Billaud
On 08/06/2014 09:27, Leger écrivait:
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable. Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à toucher à ça? On a qu'à revenir dans l'état où était ce programme il y a deux ans. Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bonjour,
Voir libressl :
http://www.openbsd.org/papers/bsdcan14-libressl/
JFB
On 08/06/2014 09:27, Leger écrivait:
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable. Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à toucher à ça? On a qu'à revenir dans l'état où était ce programme il y a deux ans. Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bonjour,
Voir libressl :
http://www.openbsd.org/papers/bsdcan14-libressl/
JFB
Yliur
Le Sun, 08 Jun 2014 09:27:44 +0200 Leger a écrit :
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il semblerait.
Ohloh parle par exemple de 400.000 lignes de code (dont 300.000 lignes de C) : http://www.ohloh.net/p/openssl/analyses/latest/languages_summary
Après je ne sais pas combien de ces lignes correspondent au programme lui-même plutôt qu'à des outils autour, il me semble avoir vu passer plutôt 150.000 lignes de code (par les gens d'OpenBSD ?), mais pas sûr.
En tout cas ça en fait quand même un programme pas tout à fait ridicule, surtout si le niveau de fiabilité est critique.
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable. Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à toucher à ça?
Pas quelqu'un qui passerait, venu de nulle part, je pense. Mais il n'y a sans doute pas 15 développeurs actifs sur le projet. Ça pourrait être quelqu'un qui est devenu le développeur principal du projet ou qui est devenu un développeur important du projet, tout à fait officiellement.
Maintenant les gens d'OpenBSD semblent penser que le code d'OpenSSL c'est globalement de la merde. Bon, peut-être qu'il pensent ça de tout ce qui sort d'OpenBSD mais ils n'avait pas l'air de dire que c'était centré sur une poignées de contributions.
On a qu'à revenir dans l'état où était ce programme il y a deux ans. Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Des fonctionnalités ont pu être ajoutées, des algos implémentés, ... Je ne sais pas ce qui a été touché depuis deux ans mais mesurer l'impact sur ta vie est difficile puisque ça concerne des sites que tu consultes par exemple, sans que tu saches comment exactement.
Le Sun, 08 Jun 2014 09:27:44 +0200
Leger <le.ger@orange.fr> a écrit :
Je lisais sur certains sites ce qui se disais sur les failles
d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que
ça openSSL?
Il semblerait.
Ohloh parle par exemple de 400.000 lignes de code (dont 300.000
lignes de C) :
http://www.ohloh.net/p/openssl/analyses/latest/languages_summary
Après je ne sais pas combien de ces lignes correspondent au programme
lui-même plutôt qu'à des outils autour, il me semble avoir vu passer
plutôt 150.000 lignes de code (par les gens d'OpenBSD ?), mais pas sûr.
En tout cas ça en fait quand même un programme pas tout à fait
ridicule, surtout si le niveau de fiabilité est critique.
Il est dit qu'il y a deux ans il n'y avait pas de problème que
c'était une forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour
améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé
à toucher à ça?
Pas quelqu'un qui passerait, venu de nulle part, je pense. Mais il n'y
a sans doute pas 15 développeurs actifs sur le projet. Ça pourrait être
quelqu'un qui est devenu le développeur principal du projet ou qui est
devenu un développeur important du projet, tout à fait officiellement.
Maintenant les gens d'OpenBSD semblent penser que le code d'OpenSSL
c'est globalement de la merde. Bon, peut-être qu'il pensent ça de tout
ce qui sort d'OpenBSD mais ils n'avait pas l'air de dire que c'était
centré sur une poignées de contributions.
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Des fonctionnalités ont pu être ajoutées, des algos implémentés, ... Je
ne sais pas ce qui a été touché depuis deux ans mais mesurer l'impact
sur ta vie est difficile puisque ça concerne des sites que tu consultes
par exemple, sans que tu saches comment exactement.
Le Sun, 08 Jun 2014 09:27:44 +0200 Leger a écrit :
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il semblerait.
Ohloh parle par exemple de 400.000 lignes de code (dont 300.000 lignes de C) : http://www.ohloh.net/p/openssl/analyses/latest/languages_summary
Après je ne sais pas combien de ces lignes correspondent au programme lui-même plutôt qu'à des outils autour, il me semble avoir vu passer plutôt 150.000 lignes de code (par les gens d'OpenBSD ?), mais pas sûr.
En tout cas ça en fait quand même un programme pas tout à fait ridicule, surtout si le niveau de fiabilité est critique.
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable. Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à toucher à ça?
Pas quelqu'un qui passerait, venu de nulle part, je pense. Mais il n'y a sans doute pas 15 développeurs actifs sur le projet. Ça pourrait être quelqu'un qui est devenu le développeur principal du projet ou qui est devenu un développeur important du projet, tout à fait officiellement.
Maintenant les gens d'OpenBSD semblent penser que le code d'OpenSSL c'est globalement de la merde. Bon, peut-être qu'il pensent ça de tout ce qui sort d'OpenBSD mais ils n'avait pas l'air de dire que c'était centré sur une poignées de contributions.
On a qu'à revenir dans l'état où était ce programme il y a deux ans. Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Des fonctionnalités ont pu être ajoutées, des algos implémentés, ... Je ne sais pas ce qui a été touché depuis deux ans mais mesurer l'impact sur ta vie est difficile puisque ça concerne des sites que tu consultes par exemple, sans que tu saches comment exactement.
ptilou
Slt,
Dans les années 90 un gus dev de chez AOL, en avait publié une palanqu ées ! Et le paplare disait qu'il restait l'homme du milieu ... ( qui malgré l'open source a ma connaissance et toujours d'actualité )
Ptilou
Le dimanche 8 juin 2014 08:27:44 UTC+1, Leger a écrit :
Bonjour,
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliquï¿oe que ï¿oea openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problï¿oeme que c' ï¿oetait une
forteresse imprenable.
Et que ces failles sont dï¿oe au fait que quelqu'un y a touchï¿oe pour amï¿oeliorer.
A mon niveau je ne comprends pas comment quelqu'un peut ï¿oetre autor isï¿oe ï¿oe
toucher ï¿oe ï¿oea?
On a qu'ï¿oe revenir dans l'ï¿oetat oï¿oe ï¿oetait ce pro gramme il y a deux ans.
Bon, en ce qui me concerne ï¿oea ne me pose pas de souci ï¿oe moi .
Bon week-end.
--
@+
Leger
Slt,
Dans les années 90 un gus dev de chez AOL, en avait publié une palanqu ées !
Et le paplare disait qu'il restait l'homme du milieu ...
( qui malgré l'open source a ma connaissance et toujours d'actualité )
Ptilou
Le dimanche 8 juin 2014 08:27:44 UTC+1, Leger a écrit :
Bonjour,
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliquï¿oe que ï¿oea openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problï¿oeme que c' ï¿oetait une
forteresse imprenable.
Et que ces failles sont dï¿oe au fait que quelqu'un y a touchï¿oe pour amï¿oeliorer.
A mon niveau je ne comprends pas comment quelqu'un peut ï¿oetre autor isï¿oe ï¿oe
toucher ï¿oe ï¿oea?
On a qu'ï¿oe revenir dans l'ï¿oetat oï¿oe ï¿oetait ce pro gramme il y a deux ans.
Bon, en ce qui me concerne ï¿oea ne me pose pas de souci ï¿oe moi .
Dans les années 90 un gus dev de chez AOL, en avait publié une palanqu ées ! Et le paplare disait qu'il restait l'homme du milieu ... ( qui malgré l'open source a ma connaissance et toujours d'actualité )
Ptilou
Le dimanche 8 juin 2014 08:27:44 UTC+1, Leger a écrit :
Bonjour,
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliquï¿oe que ï¿oea openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problï¿oeme que c' ï¿oetait une
forteresse imprenable.
Et que ces failles sont dï¿oe au fait que quelqu'un y a touchï¿oe pour amï¿oeliorer.
A mon niveau je ne comprends pas comment quelqu'un peut ï¿oetre autor isï¿oe ï¿oe
toucher ï¿oe ï¿oea?
On a qu'ï¿oe revenir dans l'ï¿oetat oï¿oe ï¿oetait ce pro gramme il y a deux ans.
Bon, en ce qui me concerne ï¿oea ne me pose pas de souci ï¿oe moi .
Bon week-end.
--
@+
Leger
Doug713705
Le 08-06-2014, ptilou nous expliquait dans fr.comp.os.linux.debats () :
Slt,
Dans les années 90 un gus dev de chez AOL, en avait publié une palanquées !
Source ?
Et le paplare disait qu'il restait l'homme du milieu ... ( qui malgré l'open source a ma connaissance et toujours d'actualité )
Openssl dans les années 90, ça devait être à la fin des années 90 et au début d'openssl.
-- La nuit te glace au fond d'un train Où tu croyais trouver l'oubli Voyageur des petits matins Tu rentres de tes insomnies -- H.F. Thiéfaine, Narcisse 81
Le 08-06-2014, ptilou nous expliquait dans
fr.comp.os.linux.debats
(<01d67471-7bad-4818-a589-34067140fa58@googlegroups.com>) :
Slt,
Dans les années 90 un gus dev de chez AOL, en avait publié une palanquées !
Source ?
Et le paplare disait qu'il restait l'homme du milieu ...
( qui malgré l'open source a ma connaissance et toujours d'actualité )
Openssl dans les années 90, ça devait être à la fin des années 90 et au
début d'openssl.
--
La nuit te glace au fond d'un train
Où tu croyais trouver l'oubli
Voyageur des petits matins
Tu rentres de tes insomnies
-- H.F. Thiéfaine, Narcisse 81
Le 08-06-2014, ptilou nous expliquait dans fr.comp.os.linux.debats () :
Slt,
Dans les années 90 un gus dev de chez AOL, en avait publié une palanquées !
Source ?
Et le paplare disait qu'il restait l'homme du milieu ... ( qui malgré l'open source a ma connaissance et toujours d'actualité )
Openssl dans les années 90, ça devait être à la fin des années 90 et au début d'openssl.
-- La nuit te glace au fond d'un train Où tu croyais trouver l'oubli Voyageur des petits matins Tu rentres de tes insomnies -- H.F. Thiéfaine, Narcisse 81
Leger
Le Sun, 08 Jun 2014 09:36:16 +0200, Prasutagus a écrit :
Ici ça parle d'une faille présente depuis 15 ans <http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-
changecipherspec-actualite-1891172.html>
Merci à tous pour ces réponses. Malgré tout faut déjà pouvoir exploiter ces genres de failles. Découvrir des failles c'est une chose mais les exploiter c'est autre chose.
Mais bon si le libre n'est plus sûr, dites moi quand il me faudra repasser à Windows. :-)
-- @+ Leger
Le Sun, 08 Jun 2014 09:36:16 +0200, Prasutagus a écrit :
Ici ça parle d'une faille présente depuis 15 ans
<http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-
changecipherspec-actualite-1891172.html>
Merci à tous pour ces réponses.
Malgré tout faut déjà pouvoir exploiter ces genres de failles. Découvrir
des failles c'est une chose mais les exploiter c'est autre chose.
Mais bon si le libre n'est plus sûr, dites moi quand il me faudra
repasser à Windows. :-)
Le Sun, 08 Jun 2014 09:36:16 +0200, Prasutagus a écrit :
Ici ça parle d'une faille présente depuis 15 ans <http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-
changecipherspec-actualite-1891172.html>
Merci à tous pour ces réponses. Malgré tout faut déjà pouvoir exploiter ces genres de failles. Découvrir des failles c'est une chose mais les exploiter c'est autre chose.
Mais bon si le libre n'est plus sûr, dites moi quand il me faudra repasser à Windows. :-)
-- @+ Leger
ptilou
Slt,
Netscape, avec Mosaïque en marier ! ;-D Fin des années 90 p-tre meme debut 2000 ... Au fait le fondateur de Netscape a été élu gouverneur ?
Ptilou
Le dimanche 8 juin 2014 11:00:52 UTC+1, Doug713705 a écrit :
Le 08-06-2014, ptilou nous expliquait dans
fr.comp.os.linux.debats
() :
> Slt,
>
> Dans les annï¿oees 90 un gus dev de chez AOL, en avait publiï¿o e une palanquï¿oees !
Source ?
> Et le paplare disait qu'il restait l'homme du milieu ...
> ( qui malgrï¿oe l'open source a ma connaissance et toujours d'actua litï¿oe )
Openssl dans les annï¿oees 90, ï¿oea devait ï¿oetre ï¿oe la fin des annï¿oees 90 et au
dï¿oebut d'openssl.
--
La nuit te glace au fond d'un train
Oï¿oe tu croyais trouver l'oubli
Voyageur des petits matins
Tu rentres de tes insomnies
-- H.F. Thiï¿oefaine, Narcisse 81
Slt,
Netscape, avec Mosaïque en marier ! ;-D
Fin des années 90 p-tre meme debut 2000 ...
Au fait le fondateur de Netscape a été élu gouverneur ?
Ptilou
Le dimanche 8 juin 2014 11:00:52 UTC+1, Doug713705 a écrit :
Netscape, avec Mosaïque en marier ! ;-D Fin des années 90 p-tre meme debut 2000 ... Au fait le fondateur de Netscape a été élu gouverneur ?
Ptilou
Le dimanche 8 juin 2014 11:00:52 UTC+1, Doug713705 a écrit :
Le 08-06-2014, ptilou nous expliquait dans
fr.comp.os.linux.debats
() :
> Slt,
>
> Dans les annï¿oees 90 un gus dev de chez AOL, en avait publiï¿o e une palanquï¿oees !
Source ?
> Et le paplare disait qu'il restait l'homme du milieu ...
> ( qui malgrï¿oe l'open source a ma connaissance et toujours d'actua litï¿oe )
Openssl dans les annï¿oees 90, ï¿oea devait ï¿oetre ï¿oe la fin des annï¿oees 90 et au
dï¿oebut d'openssl.
--
La nuit te glace au fond d'un train
Oï¿oe tu croyais trouver l'oubli
Voyageur des petits matins
Tu rentres de tes insomnies
-- H.F. Thiï¿oefaine, Narcisse 81
Kevin Denis
Le 08-06-2014, Leger a écrit :
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Le code, c'est compliqué. Le code sécurisé, c'est compliqué. La crypto, c'est compliqué.
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable.
wut?
A noter, une excellente sur le sujet au SSTIC 2014 là dessus: https://www.sstic.org/2014/presentation/crpytocoding/ Pas encore de lien, mais si ça sort, c'est à suivre.
C'est une des personnes qui a audité le code de truecrypt. -- Kevin
Le 08-06-2014, Leger <le.ger@orange.fr> a écrit :
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Le code, c'est compliqué. Le code sécurisé, c'est compliqué. La
crypto, c'est compliqué.
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
wut?
A noter, une excellente sur le sujet au SSTIC 2014 là dessus:
https://www.sstic.org/2014/presentation/crpytocoding/
Pas encore de lien, mais si ça sort, c'est à suivre.
C'est une des personnes qui a audité le code de truecrypt.
--
Kevin
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Le code, c'est compliqué. Le code sécurisé, c'est compliqué. La crypto, c'est compliqué.
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une forteresse imprenable.
wut?
A noter, une excellente sur le sujet au SSTIC 2014 là dessus: https://www.sstic.org/2014/presentation/crpytocoding/ Pas encore de lien, mais si ça sort, c'est à suivre.
C'est une des personnes qui a audité le code de truecrypt. -- Kevin
