Non, cas n°2, tu te rappelles ? On se pose en victime.
et te collent un procès,
Mouais, juste une question d'habitude et tu rigoles doucement en regardant gesticuler. C'est toujours pareil. Y'en a même qui se roulent par terre, si tu veux savoir. Ouh, s'ont pas contents... Forcément, ils cherchent un responsable, si possible extérieur, c'est humain. Peut-on leur en vouloir ?
les arguments techniques (que le juge ne comprendra pas de toutes façons)
Nan, c'est pas con, un juge. Mais ça va rarement jusque là, sauf quand les intéressés en tiennent vraiment une couche. Et cherchent la m.
ne feront pas le poids face au budget de leur service juridique.
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité.
Peut-être vois-je les choses un peu en noir, mais s'il y a ne serait-ce que 0,1 % de chances pour que ça se passe comme je le décris, ça justifie amplement de s'arranger pour garder l'anonymat.
Qui ne vaut pas un pet de lapin, de toutes façons. Franchement, quel intérêt? Je veux dire, et permets-moi de mettre le doigt où ça fait mal, (aïe) qu'entends-tu par `rester anonyme vis-à-vis de l'éditeur' ? Entre le choix de répudier silencieusement tous ses produits et les bannir de ton catalogue, et celui de lui rapporter entre quatre zyeux la boulette qu'il a commise pour exiger un correctif, fissa fissa, je ne vois pas où se situe ton attitude de vengeur masqué, si ce n'est pour entretenir un mythe dont on pourrait, je pense, se passer.
-- tchelaviek
Fabien LE LEZ wrote:
Mouais... AMHA, s'ils se sentent agressés
Non, cas n°2, tu te rappelles ? On se pose en victime.
et te collent un procès,
Mouais, juste une question d'habitude et tu rigoles doucement en
regardant gesticuler. C'est toujours pareil. Y'en a même qui se roulent
par terre, si tu veux savoir. Ouh, s'ont pas contents...
Forcément, ils cherchent un responsable, si possible extérieur, c'est
humain. Peut-on leur en vouloir ?
les arguments techniques (que le juge ne comprendra pas de toutes façons)
Nan, c'est pas con, un juge. Mais ça va rarement jusque là, sauf quand
les intéressés en tiennent vraiment une couche. Et cherchent la m.
ne feront pas le poids face au budget de leur service juridique.
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il
est impossible de déformer la réalité.
Peut-être vois-je les choses un peu en noir, mais s'il y a ne
serait-ce que 0,1 % de chances pour que ça se passe comme je le
décris, ça justifie amplement de s'arranger pour garder l'anonymat.
Qui ne vaut pas un pet de lapin, de toutes façons.
Franchement, quel intérêt? Je veux dire, et permets-moi de mettre le
doigt où ça fait mal, (aïe) qu'entends-tu par `rester anonyme vis-à-vis
de l'éditeur' ?
Entre le choix de répudier silencieusement tous ses produits et les
bannir de ton catalogue, et celui de lui rapporter entre quatre zyeux la
boulette qu'il a commise pour exiger un correctif, fissa fissa, je ne
vois pas où se situe ton attitude de vengeur masqué, si ce n'est pour
entretenir un mythe dont on pourrait, je pense, se passer.
Non, cas n°2, tu te rappelles ? On se pose en victime.
et te collent un procès,
Mouais, juste une question d'habitude et tu rigoles doucement en regardant gesticuler. C'est toujours pareil. Y'en a même qui se roulent par terre, si tu veux savoir. Ouh, s'ont pas contents... Forcément, ils cherchent un responsable, si possible extérieur, c'est humain. Peut-on leur en vouloir ?
les arguments techniques (que le juge ne comprendra pas de toutes façons)
Nan, c'est pas con, un juge. Mais ça va rarement jusque là, sauf quand les intéressés en tiennent vraiment une couche. Et cherchent la m.
ne feront pas le poids face au budget de leur service juridique.
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité.
Peut-être vois-je les choses un peu en noir, mais s'il y a ne serait-ce que 0,1 % de chances pour que ça se passe comme je le décris, ça justifie amplement de s'arranger pour garder l'anonymat.
Qui ne vaut pas un pet de lapin, de toutes façons. Franchement, quel intérêt? Je veux dire, et permets-moi de mettre le doigt où ça fait mal, (aïe) qu'entends-tu par `rester anonyme vis-à-vis de l'éditeur' ? Entre le choix de répudier silencieusement tous ses produits et les bannir de ton catalogue, et celui de lui rapporter entre quatre zyeux la boulette qu'il a commise pour exiger un correctif, fissa fissa, je ne vois pas où se situe ton attitude de vengeur masqué, si ce n'est pour entretenir un mythe dont on pourrait, je pense, se passer.
-- tchelaviek
Nicob
On Thu, 27 May 2004 06:56:04 +0000, tchelaviek wrote:
et te collent un procès,
Mouais, juste une question d'habitude et tu rigoles doucement en regardant gesticuler.
Bizarrement, mes quelques expériences dans le domaine m'ont appris à d'abord me méfier, et éventuellement à en rigoler, longtemps après, quand l'orage est passé.
ne feront pas le poids face au budget de leur service juridique.
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité
Tu ne vis pas assez dans la vraie vie, je crois ...
Entre un quidam qui doit avancer 3.000 ¤ pour l'avocat, l'expert et les déplacements et une boîte qui a une tonne de trésorerie, un service juridique et des avocats spécialisés, la lutte ne me semble pas égale, et je doute que la "réalité technique" mise en avant par la personne dévoilant la faille sorte toujours gagnante :(
Nicob
On Thu, 27 May 2004 06:56:04 +0000, tchelaviek wrote:
et te collent un procès,
Mouais, juste une question d'habitude et tu rigoles doucement en
regardant gesticuler.
Bizarrement, mes quelques expériences dans le domaine m'ont appris à
d'abord me méfier, et éventuellement à en rigoler, longtemps après,
quand l'orage est passé.
ne feront pas le poids face au budget de leur service juridique.
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux,
il est impossible de déformer la réalité
Tu ne vis pas assez dans la vraie vie, je crois ...
Entre un quidam qui doit avancer 3.000 ¤ pour l'avocat, l'expert et
les déplacements et une boîte qui a une tonne de trésorerie, un service
juridique et des avocats spécialisés, la lutte ne me semble pas égale,
et je doute que la "réalité technique" mise en avant par la
personne dévoilant la faille sorte toujours gagnante :(
On Thu, 27 May 2004 06:56:04 +0000, tchelaviek wrote:
et te collent un procès,
Mouais, juste une question d'habitude et tu rigoles doucement en regardant gesticuler.
Bizarrement, mes quelques expériences dans le domaine m'ont appris à d'abord me méfier, et éventuellement à en rigoler, longtemps après, quand l'orage est passé.
ne feront pas le poids face au budget de leur service juridique.
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité
Tu ne vis pas assez dans la vraie vie, je crois ...
Entre un quidam qui doit avancer 3.000 ¤ pour l'avocat, l'expert et les déplacements et une boîte qui a une tonne de trésorerie, un service juridique et des avocats spécialisés, la lutte ne me semble pas égale, et je doute que la "réalité technique" mise en avant par la personne dévoilant la faille sorte toujours gagnante :(
Nicob
tchelaviek
Salut, Nicob. Tu as écrit:
Il faut garder à l'esprit que remonter des failles aux éditeurs prend du temps,
Vrai. Et la remontée proprement dite n'est que la partie visible de l'iceberg. Il en faut, du travail, pour être en mesure de le faire.
et que les gens qui font ce travail n'ont que rarement la motivation d'aller devant un tribunal, avec un risque de condamnation toujours présent, simplement pour prouver qu'ils ne sont pas des "terroristes informatiques" et qu'ils ont raison techniquement.
Tribunal, condamnation, terroriste...il me semblait bien qu'il y avait un abcès à crever, là. S'pas ? ;)
Tous les gens que je connais et qui ont eu des problèmes en dévoilant des failles (procès, menace de procès, rupture d'accords commerciaux, mise à mal de la réputation, ...) auraient préféré fermer leur gueule et consacrer leurs $$ à partir en vacances plutôt qu'à payer avocats et experts.
Voilà plus de concret pour l'initiateur de ce fil...
J'attends avec impatience l'avénement d'une structure (de type CERT, mais peut-être en moins formel)
Ben, c'est pas du luxe d'être formel dans ces cas là ?!
où les gens découvrant des failles mais ne souhaitant ni faire le travail de remontée à l'éditeur ni prendre les risques associés pourraient "déposer" leurs trouvailles. Ainsi le découvreur n'est pas connu de l'éditeur et l'organisme contactant l'éditeur pourrait bénéficier, à force, d'une certaine auréole de respectabilité.
Mais, c'est ce qui se fait. Tu as pourtant eu l'occasion de faire le tour des CERTs récemment.
-- tchelaviek
Salut, Nicob. Tu as écrit:
Il faut garder à l'esprit que remonter des failles aux éditeurs prend du
temps,
Vrai. Et la remontée proprement dite n'est que la partie visible de
l'iceberg. Il en faut, du travail, pour être en mesure de le faire.
et que les gens qui font ce travail n'ont que rarement la
motivation d'aller devant un tribunal, avec un risque de condamnation
toujours présent, simplement pour prouver qu'ils ne sont pas des
"terroristes informatiques" et qu'ils ont raison techniquement.
Tribunal, condamnation, terroriste...il me semblait bien qu'il y avait
un abcès à crever, là. S'pas ? ;)
Tous les gens que je connais et qui ont eu des problèmes en dévoilant
des failles (procès, menace de procès, rupture d'accords commerciaux,
mise à mal de la réputation, ...) auraient préféré fermer leur gueule
et consacrer leurs $$ à partir en vacances plutôt qu'à payer avocats et
experts.
Voilà plus de concret pour l'initiateur de ce fil...
J'attends avec impatience l'avénement d'une structure (de type CERT, mais
peut-être en moins formel)
Ben, c'est pas du luxe d'être formel dans ces cas là ?!
où les gens découvrant des failles mais ne
souhaitant ni faire le travail de remontée à l'éditeur ni prendre les
risques associés pourraient "déposer" leurs trouvailles. Ainsi le
découvreur n'est pas connu de l'éditeur et l'organisme contactant
l'éditeur pourrait bénéficier, à force, d'une certaine auréole de
respectabilité.
Mais, c'est ce qui se fait. Tu as pourtant eu l'occasion de faire le
tour des CERTs récemment.
Il faut garder à l'esprit que remonter des failles aux éditeurs prend du temps,
Vrai. Et la remontée proprement dite n'est que la partie visible de l'iceberg. Il en faut, du travail, pour être en mesure de le faire.
et que les gens qui font ce travail n'ont que rarement la motivation d'aller devant un tribunal, avec un risque de condamnation toujours présent, simplement pour prouver qu'ils ne sont pas des "terroristes informatiques" et qu'ils ont raison techniquement.
Tribunal, condamnation, terroriste...il me semblait bien qu'il y avait un abcès à crever, là. S'pas ? ;)
Tous les gens que je connais et qui ont eu des problèmes en dévoilant des failles (procès, menace de procès, rupture d'accords commerciaux, mise à mal de la réputation, ...) auraient préféré fermer leur gueule et consacrer leurs $$ à partir en vacances plutôt qu'à payer avocats et experts.
Voilà plus de concret pour l'initiateur de ce fil...
J'attends avec impatience l'avénement d'une structure (de type CERT, mais peut-être en moins formel)
Ben, c'est pas du luxe d'être formel dans ces cas là ?!
où les gens découvrant des failles mais ne souhaitant ni faire le travail de remontée à l'éditeur ni prendre les risques associés pourraient "déposer" leurs trouvailles. Ainsi le découvreur n'est pas connu de l'éditeur et l'organisme contactant l'éditeur pourrait bénéficier, à force, d'une certaine auréole de respectabilité.
Mais, c'est ce qui se fait. Tu as pourtant eu l'occasion de faire le tour des CERTs récemment.
-- tchelaviek
Yannick Patois
Salut,
tchelaviek wrote:
Entre le choix de répudier silencieusement tous ses produits et les bannir de ton catalogue, et celui de lui rapporter entre quatre zyeux la boulette qu'il a commise pour exiger un correctif, fissa fissa, je ne vois pas où se situe ton attitude de vengeur masqué, si ce n'est pour entretenir un mythe dont on pourrait, je pense, se passer.
Le mythe, c'est toi qui est dedans, la, je crois.
Dans le monde reel, ca se passe comme ca: http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
Ici, kitetoi fini par gagner, ca a pris deux ans. Et note que 'kitetoi' n'etait pas un particulier anonyme, mais une association disposant d'une audience certaine et du soutient de beaucoup de monde.
Dans la vrais vie, tu as largement le temps dans ces deux ans de te faire virer de ta boite (en proces pour "piratage informatique" ca me parait une raison suffisante, surtout si c'est une boite d'info), de te facher serieusement avec ton banquier (frais de justice, deplacement a Paris, etc. surtout que t'as plus de boulot) et sans doute de ne meme pas gagner (par manque d'argent et de soutiens).
Dans le monde reel, ca se passe aussi comme ca: http://www.guillermito2.net/archives/2004_03_25.html
Je ne fais pas de commentaire, il les fait beaucoup mieux que moi.
Bref tout ca pour dire que y'a que dans ta TV (sur TF1) que les bon (avec de belles dents et la machoire carree) gagnent a la fin, que les entreprises ne veulent que le bien des citoyens et que la justice et la police sont toujours la pour nous proteger...
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Salut,
tchelaviek wrote:
Entre le choix de répudier silencieusement tous ses produits et les
bannir de ton catalogue, et celui de lui rapporter entre quatre zyeux la
boulette qu'il a commise pour exiger un correctif, fissa fissa, je ne
vois pas où se situe ton attitude de vengeur masqué, si ce n'est pour
entretenir un mythe dont on pourrait, je pense, se passer.
Le mythe, c'est toi qui est dedans, la, je crois.
Dans le monde reel, ca se passe comme ca:
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
Ici, kitetoi fini par gagner, ca a pris deux ans. Et note que 'kitetoi'
n'etait pas un particulier anonyme, mais une association disposant d'une
audience certaine et du soutient de beaucoup de monde.
Dans la vrais vie, tu as largement le temps dans ces deux ans de te
faire virer de ta boite (en proces pour "piratage informatique" ca me
parait une raison suffisante, surtout si c'est une boite d'info), de te
facher serieusement avec ton banquier (frais de justice, deplacement a
Paris, etc. surtout que t'as plus de boulot) et sans doute de ne meme
pas gagner (par manque d'argent et de soutiens).
Dans le monde reel, ca se passe aussi comme ca:
http://www.guillermito2.net/archives/2004_03_25.html
Je ne fais pas de commentaire, il les fait beaucoup mieux que moi.
Bref tout ca pour dire que y'a que dans ta TV (sur TF1) que les bon
(avec de belles dents et la machoire carree) gagnent a la fin, que les
entreprises ne veulent que le bien des citoyens et que la justice et la
police sont toujours la pour nous proteger...
Yannick
--
_/ Yannick Patois ___________________________________________________
| web: http://feelingsurfer.net/garp/ | Garp sur irc undernet |
| email: patois@calvix.org | |
| ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Entre le choix de répudier silencieusement tous ses produits et les bannir de ton catalogue, et celui de lui rapporter entre quatre zyeux la boulette qu'il a commise pour exiger un correctif, fissa fissa, je ne vois pas où se situe ton attitude de vengeur masqué, si ce n'est pour entretenir un mythe dont on pourrait, je pense, se passer.
Le mythe, c'est toi qui est dedans, la, je crois.
Dans le monde reel, ca se passe comme ca: http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/index.shtml
Ici, kitetoi fini par gagner, ca a pris deux ans. Et note que 'kitetoi' n'etait pas un particulier anonyme, mais une association disposant d'une audience certaine et du soutient de beaucoup de monde.
Dans la vrais vie, tu as largement le temps dans ces deux ans de te faire virer de ta boite (en proces pour "piratage informatique" ca me parait une raison suffisante, surtout si c'est une boite d'info), de te facher serieusement avec ton banquier (frais de justice, deplacement a Paris, etc. surtout que t'as plus de boulot) et sans doute de ne meme pas gagner (par manque d'argent et de soutiens).
Dans le monde reel, ca se passe aussi comme ca: http://www.guillermito2.net/archives/2004_03_25.html
Je ne fais pas de commentaire, il les fait beaucoup mieux que moi.
Bref tout ca pour dire que y'a que dans ta TV (sur TF1) que les bon (avec de belles dents et la machoire carree) gagnent a la fin, que les entreprises ne veulent que le bien des citoyens et que la justice et la police sont toujours la pour nous proteger...
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | ATTAC dans le Pays de Gex: http://attacgex.ouvaton.org |
Fabien LE LEZ
On 27 May 2004 06:56:04 GMT, tchelaviek wrote:
T'as trop regardé la télé, là.
Non, je n'ai pas la télé.
Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité.
Qui parle de réalité ? Ce qui compte, c'est ce que pense le juge. Il y a parfois adéquation entre les deux, mais c'est loin d'être gagné d'avance. Et encore plus dans les domaines de pointe où le juge n'a pas les compétences techniques.
-- ;-) FLL, Epagneul Breton
On 27 May 2004 06:56:04 GMT, tchelaviek <tchelaviek@mamousse.invalid>
wrote:
T'as trop regardé la télé, là.
Non, je n'ai pas la télé.
Tu peux mettre le budget que tu veux, il
est impossible de déformer la réalité.
Qui parle de réalité ? Ce qui compte, c'est ce que pense le juge. Il y
a parfois adéquation entre les deux, mais c'est loin d'être gagné
d'avance. Et encore plus dans les domaines de pointe où le juge n'a
pas les compétences techniques.
Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité.
Qui parle de réalité ? Ce qui compte, c'est ce que pense le juge. Il y a parfois adéquation entre les deux, mais c'est loin d'être gagné d'avance. Et encore plus dans les domaines de pointe où le juge n'a pas les compétences techniques.
-- ;-) FLL, Epagneul Breton
tchelaviek
Bonsoir. Nicob a écrit:
Bizarrement, mes quelques expériences dans le domaine m'ont appris à d'abord me méfier, et éventuellement à en rigoler, longtemps après, quand l'orage est passé.
Te méfier d'abord, ça ne rejoint pas vaguement ce que j'indiquais au départ, non ? tchel> Cédric a seulement oublié dans sa liste la phase : tchel> 0) Vérifier qu'on est en droit d'utiliser le logiciel/service tchel> comme un bon père de famille (tm).
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité
Tu ne vis pas assez dans la vraie vie, je crois ...
Je pense au contraire avoir été clair et constructif. Et à présent, je pense que tu découragerais un régiment en évoquant des mésaventures qui se sont produites lorsque tu es allé trop loin.
Entre un quidam qui doit avancer 3.000 ¤ pour l'avocat, l'expert et les déplacements et une boîte qui a une tonne de trésorerie, un service juridique et des avocats spécialisés, la lutte ne me semble pas égale, et je doute que la "réalité technique" mise en avant par la personne dévoilant la faille sorte toujours gagnante :(
Donc, toi tu lui conseilles quoi, exactement, à l'initiateur du fil ? Est-ce vraiment ce que je crois comprendre ?
-- tchelaviek
Bonsoir. Nicob a écrit:
Bizarrement, mes quelques expériences dans le domaine m'ont appris à
d'abord me méfier, et éventuellement à en rigoler, longtemps après,
quand l'orage est passé.
Te méfier d'abord, ça ne rejoint pas vaguement ce que j'indiquais au
départ, non ?
tchel> Cédric a seulement oublié dans sa liste la phase :
tchel> 0) Vérifier qu'on est en droit d'utiliser le logiciel/service
tchel> comme un bon père de famille (tm).
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux,
il est impossible de déformer la réalité
Tu ne vis pas assez dans la vraie vie, je crois ...
Je pense au contraire avoir été clair et constructif. Et à présent, je
pense que tu découragerais un régiment en évoquant des mésaventures qui
se sont produites lorsque tu es allé trop loin.
Entre un quidam qui doit avancer 3.000 ¤ pour l'avocat, l'expert et
les déplacements et une boîte qui a une tonne de trésorerie, un service
juridique et des avocats spécialisés, la lutte ne me semble pas égale,
et je doute que la "réalité technique" mise en avant par la
personne dévoilant la faille sorte toujours gagnante :(
Donc, toi tu lui conseilles quoi, exactement, à l'initiateur du fil ?
Est-ce vraiment ce que je crois comprendre ?
Bizarrement, mes quelques expériences dans le domaine m'ont appris à d'abord me méfier, et éventuellement à en rigoler, longtemps après, quand l'orage est passé.
Te méfier d'abord, ça ne rejoint pas vaguement ce que j'indiquais au départ, non ? tchel> Cédric a seulement oublié dans sa liste la phase : tchel> 0) Vérifier qu'on est en droit d'utiliser le logiciel/service tchel> comme un bon père de famille (tm).
T'as trop regardé la télé, là. Tu peux mettre le budget que tu veux, il est impossible de déformer la réalité
Tu ne vis pas assez dans la vraie vie, je crois ...
Je pense au contraire avoir été clair et constructif. Et à présent, je pense que tu découragerais un régiment en évoquant des mésaventures qui se sont produites lorsque tu es allé trop loin.
Entre un quidam qui doit avancer 3.000 ¤ pour l'avocat, l'expert et les déplacements et une boîte qui a une tonne de trésorerie, un service juridique et des avocats spécialisés, la lutte ne me semble pas égale, et je doute que la "réalité technique" mise en avant par la personne dévoilant la faille sorte toujours gagnante :(
Donc, toi tu lui conseilles quoi, exactement, à l'initiateur du fil ? Est-ce vraiment ce que je crois comprendre ?
-- tchelaviek
Cedric Blancher
Le Thu, 27 May 2004 18:55:07 +0000, tchelaviek a écrit :
Donc, toi tu lui conseilles quoi, exactement, à l'initiateur du fil ?
Dans le climat courant, il vaut parfois mieux la fermer et laisser couler pour passer du temps sur des trucs plus intéressants. Les particuliers n'ont pas accès en France à une structure leur permettant de publier des failles de manière saine.
Soit on a "les couilles" de publier avec une démarche cohérente, en prenant le risque non négligeable de se faire attaquer, soit on ferme sa gueule. Perso, j'ai fait mon choix.
-- BOFH excuse #32:
techtonic stress
Le Thu, 27 May 2004 18:55:07 +0000, tchelaviek a écrit :
Donc, toi tu lui conseilles quoi, exactement, à l'initiateur du fil ?
Dans le climat courant, il vaut parfois mieux la fermer et laisser couler
pour passer du temps sur des trucs plus intéressants. Les particuliers
n'ont pas accès en France à une structure leur permettant de publier des
failles de manière saine.
Soit on a "les couilles" de publier avec une démarche cohérente, en
prenant le risque non négligeable de se faire attaquer, soit on ferme sa
gueule. Perso, j'ai fait mon choix.
Le Thu, 27 May 2004 18:55:07 +0000, tchelaviek a écrit :
Donc, toi tu lui conseilles quoi, exactement, à l'initiateur du fil ?
Dans le climat courant, il vaut parfois mieux la fermer et laisser couler pour passer du temps sur des trucs plus intéressants. Les particuliers n'ont pas accès en France à une structure leur permettant de publier des failles de manière saine.
Soit on a "les couilles" de publier avec une démarche cohérente, en prenant le risque non négligeable de se faire attaquer, soit on ferme sa gueule. Perso, j'ai fait mon choix.
-- BOFH excuse #32:
techtonic stress
Nicob
On Thu, 27 May 2004 19:06:43 +0000, Cedric Blancher wrote:
Soit on a "les couilles" de publier avec une démarche cohérente, en prenant le risque non négligeable de se faire attaquer, soit on ferme sa gueule. Perso, j'ai fait mon choix.
Ce qui est malheureux, c'est que le nombre de failles *découvertes* (je n'ai pas dit *publiées*) ne va pas baisser. Tous ceux qui passent du temps à bidouiller/troubleshooter/tester trouveront des failles de sécurité, qui dans de l'Open-Source, qui chez des éditeurs commerciaux, qui dans des portails Web, ...
Donc, si les "chapeaux blancs" ne diffusent pas l'info parceque ça leur coûte trop cher (en temps et en risques) et que les "chapeaux noirs", fidèles à eux-mêmes, les exploitent, le niveau global de sécurité aura été affaibli.
Perso, je suis pour le full-disclosure, au point de préférer la sortie d'un exploit 0-day à la non-connaissance d'une faille (mitigation des risques, toussa). Mais j'avoue que, comme beaucoup, j'ai des failles privées dans ma besace, plus par flemme/peur de remonter l'info que par une sordide volonté de "h4cK d4 w0r1d".
Et vu que je suis loin d'être un killer, je n'ose imaginer les exploits privés dont disposent les gens réellement compétents ...
Nicob
On Thu, 27 May 2004 19:06:43 +0000, Cedric Blancher wrote:
Soit on a "les couilles" de publier avec une démarche cohérente, en
prenant le risque non négligeable de se faire attaquer, soit on ferme sa
gueule. Perso, j'ai fait mon choix.
Ce qui est malheureux, c'est que le nombre de failles *découvertes* (je
n'ai pas dit *publiées*) ne va pas baisser. Tous ceux qui passent du
temps à bidouiller/troubleshooter/tester trouveront des failles de
sécurité, qui dans de l'Open-Source, qui chez des éditeurs commerciaux,
qui dans des portails Web, ...
Donc, si les "chapeaux blancs" ne diffusent pas l'info parceque ça leur
coûte trop cher (en temps et en risques) et que les "chapeaux noirs",
fidèles à eux-mêmes, les exploitent, le niveau global de sécurité
aura été affaibli.
Perso, je suis pour le full-disclosure, au point de préférer la sortie
d'un exploit 0-day à la non-connaissance d'une faille (mitigation des
risques, toussa). Mais j'avoue que, comme beaucoup, j'ai des failles
privées dans ma besace, plus par flemme/peur de remonter l'info que par
une sordide volonté de "h4cK d4 w0r1d".
Et vu que je suis loin d'être un killer, je n'ose imaginer les exploits
privés dont disposent les gens réellement compétents ...
On Thu, 27 May 2004 19:06:43 +0000, Cedric Blancher wrote:
Soit on a "les couilles" de publier avec une démarche cohérente, en prenant le risque non négligeable de se faire attaquer, soit on ferme sa gueule. Perso, j'ai fait mon choix.
Ce qui est malheureux, c'est que le nombre de failles *découvertes* (je n'ai pas dit *publiées*) ne va pas baisser. Tous ceux qui passent du temps à bidouiller/troubleshooter/tester trouveront des failles de sécurité, qui dans de l'Open-Source, qui chez des éditeurs commerciaux, qui dans des portails Web, ...
Donc, si les "chapeaux blancs" ne diffusent pas l'info parceque ça leur coûte trop cher (en temps et en risques) et que les "chapeaux noirs", fidèles à eux-mêmes, les exploitent, le niveau global de sécurité aura été affaibli.
Perso, je suis pour le full-disclosure, au point de préférer la sortie d'un exploit 0-day à la non-connaissance d'une faille (mitigation des risques, toussa). Mais j'avoue que, comme beaucoup, j'ai des failles privées dans ma besace, plus par flemme/peur de remonter l'info que par une sordide volonté de "h4cK d4 w0r1d".
Et vu que je suis loin d'être un killer, je n'ose imaginer les exploits privés dont disposent les gens réellement compétents ...
Nicob
tchelaviek
Salut, Cedric Blancher. Tu as écrit:
Dans le climat courant, il vaut parfois mieux la fermer et laisser couler pour passer du temps sur des trucs plus intéressants. Les particuliers n'ont pas accès en France à une structure leur permettant de publier des failles de manière saine.
Saisir un CERT. Mais on devrait pouvoir limiter les ressources mises en oeuvre dans le cas n°1 fort bien décrit précédemment par Fabien : FLL> 1- Oups, désolé, j'ai laissé un trou dans le système.
Soit on a "les couilles" de publier avec une démarche cohérente, en prenant le risque non négligeable de se faire attaquer, soit on ferme sa gueule. Perso, j'ai fait mon choix.
Donc, tu te rends compte que la procédure que tu as donnée peut envoyer Dan au casse-pipe, et ce, dès le point d'entrée (1. On vérifie qu'on est capable de reproduire le problème).
-- tchelaviek
Salut, Cedric Blancher. Tu as écrit:
Dans le climat courant, il vaut parfois mieux la fermer et laisser couler
pour passer du temps sur des trucs plus intéressants. Les particuliers
n'ont pas accès en France à une structure leur permettant de publier des
failles de manière saine.
Saisir un CERT. Mais on devrait pouvoir limiter les ressources mises en
oeuvre dans le cas n°1 fort bien décrit précédemment par Fabien :
FLL> 1- Oups, désolé, j'ai laissé un trou dans le système.
Soit on a "les couilles" de publier avec une démarche cohérente, en
prenant le risque non négligeable de se faire attaquer, soit on ferme sa
gueule. Perso, j'ai fait mon choix.
Donc, tu te rends compte que la procédure que tu as donnée peut envoyer
Dan au casse-pipe, et ce, dès le point d'entrée (1. On vérifie qu'on est
capable de reproduire le problème).
Dans le climat courant, il vaut parfois mieux la fermer et laisser couler pour passer du temps sur des trucs plus intéressants. Les particuliers n'ont pas accès en France à une structure leur permettant de publier des failles de manière saine.
Saisir un CERT. Mais on devrait pouvoir limiter les ressources mises en oeuvre dans le cas n°1 fort bien décrit précédemment par Fabien : FLL> 1- Oups, désolé, j'ai laissé un trou dans le système.
Soit on a "les couilles" de publier avec une démarche cohérente, en prenant le risque non négligeable de se faire attaquer, soit on ferme sa gueule. Perso, j'ai fait mon choix.
Donc, tu te rends compte que la procédure que tu as donnée peut envoyer Dan au casse-pipe, et ce, dès le point d'entrée (1. On vérifie qu'on est capable de reproduire le problème).
-- tchelaviek
tchelaviek
Salut, Yannick Patois. Tu as écrit:
Le mythe, c'est toi qui est dedans, la, je crois.
Je sais. ;)
Dans le monde reel, ca se passe comme ca: [snip]
Très instructifs, tes liens. Ben on va essayer d'éviter qu'il y en ait d'autres comme ça, ok ?
-- tchelaviek
Salut, Yannick Patois. Tu as écrit:
Le mythe, c'est toi qui est dedans, la, je crois.
Je sais. ;)
Dans le monde reel, ca se passe comme ca: [snip]
Très instructifs, tes liens. Ben on va essayer d'éviter qu'il y en ait
d'autres comme ça, ok ?
