Eric Razny wrote:De nouveau :
à partir du moment ou un "méchant" est inscrit légitimement au système
(et
le "méchant" fait partie de la vie réelle, ce n'est pas nécessairement
marqué sur son front ou sur son casier judiciaire) il peut rediffuser
les
informations textuelles sans risque d'être découvert[2]
Tout user est identifié comme acteur/contributeur du système et tous ses
échanges sont contrôlés. Donc même si l'on parle de dérives, dérapages,
^^^^^^^^^^^^^^^^^^^^^^^^^
failles humaines etc les autorités auront les moyens d'appréhender ton
"méchant".
Mais le système repose sur le principe du travail collaboratif, de la
confiance, de la redondance donc la communauté des users se
responsabilise et si un "méchant" commet une infraction ou un délit
alors il se retrouve mis à l'écart soit exclu du système.
Pour ton info dans l'équipe on est tous issu de la culture groupware et
partage de l'information puis est apparu il y a qq années le P2P. Va
jeter un oeil du côté du réseau Direct Connect car son mode de
fonctionnement nous a inspiré.
DEMONTRE le.
Non je t'ai déjà expliqué pourquoi.
Sinon à partir des infos que j'ai communiqué tu peux mener une analyse
et approfondir le sujet.
Donne accès aux mêmes infos textuelles à trois personne de ce
groupe (je pense en connaitre deux qui accepteraient). Une quatrième
personne, n'ayant pas d'accès direct à l'information poste ici une des
infos
(on suppose un certain délai qui fait que les trois personnes ont eu le
temps de lire l'info et l'ait fait). Et tu nous dis lequel de nous trois
est
à l'origine de la fuite. OK?
On est pas dans l'environnement de l'espace donc on ne démontrera rien.
Soit c'est inutile.
Et la réponse des autres est sans appel : en quoi ton système aurait
empèché
la publication de ce groupe???
Si les failles/vulnérabilités n'étaient pas rendues publiques nous n'en
serions pas là.
La différence c'est que la faille étant confidentielle pour beaucoup
(ceux
n'ayant pas accès à ton système), "ils" vont s'en prendre plein la
tronche
pour pas un rond.
Non c'est faux aux équipementiers (constructeurs, éditeurs) de
développer des produits dont l'architecture est beaucoup plus sécurisée
enfin aux users d'apprendre
de se former à l'usage de leur machine/environnement et de suivre les
conseils donnés.
Le problème est que non content de ne
pas répondre aux critiques concernant ton "modèle" tu enchaine les
contradictions internes.
Mensonges et dénigrements pour conclure sur ce point.
Eric Razny wrote:
De nouveau :
à partir du moment ou un "méchant" est inscrit légitimement au système
(et
le "méchant" fait partie de la vie réelle, ce n'est pas nécessairement
marqué sur son front ou sur son casier judiciaire) il peut rediffuser
les
informations textuelles sans risque d'être découvert[2]
Tout user est identifié comme acteur/contributeur du système et tous ses
échanges sont contrôlés. Donc même si l'on parle de dérives, dérapages,
^^^^^^^^^^^^^^^^^^^^^^^^^
failles humaines etc les autorités auront les moyens d'appréhender ton
"méchant".
Mais le système repose sur le principe du travail collaboratif, de la
confiance, de la redondance donc la communauté des users se
responsabilise et si un "méchant" commet une infraction ou un délit
alors il se retrouve mis à l'écart soit exclu du système.
Pour ton info dans l'équipe on est tous issu de la culture groupware et
partage de l'information puis est apparu il y a qq années le P2P. Va
jeter un oeil du côté du réseau Direct Connect car son mode de
fonctionnement nous a inspiré.
DEMONTRE le.
Non je t'ai déjà expliqué pourquoi.
Sinon à partir des infos que j'ai communiqué tu peux mener une analyse
et approfondir le sujet.
Donne accès aux mêmes infos textuelles à trois personne de ce
groupe (je pense en connaitre deux qui accepteraient). Une quatrième
personne, n'ayant pas d'accès direct à l'information poste ici une des
infos
(on suppose un certain délai qui fait que les trois personnes ont eu le
temps de lire l'info et l'ait fait). Et tu nous dis lequel de nous trois
est
à l'origine de la fuite. OK?
On est pas dans l'environnement de l'espace donc on ne démontrera rien.
Soit c'est inutile.
Et la réponse des autres est sans appel : en quoi ton système aurait
empèché
la publication de ce groupe???
Si les failles/vulnérabilités n'étaient pas rendues publiques nous n'en
serions pas là.
La différence c'est que la faille étant confidentielle pour beaucoup
(ceux
n'ayant pas accès à ton système), "ils" vont s'en prendre plein la
tronche
pour pas un rond.
Non c'est faux aux équipementiers (constructeurs, éditeurs) de
développer des produits dont l'architecture est beaucoup plus sécurisée
enfin aux users d'apprendre
de se former à l'usage de leur machine/environnement et de suivre les
conseils donnés.
Le problème est que non content de ne
pas répondre aux critiques concernant ton "modèle" tu enchaine les
contradictions internes.
Mensonges et dénigrements pour conclure sur ce point.
Eric Razny wrote:De nouveau :
à partir du moment ou un "méchant" est inscrit légitimement au système
(et
le "méchant" fait partie de la vie réelle, ce n'est pas nécessairement
marqué sur son front ou sur son casier judiciaire) il peut rediffuser
les
informations textuelles sans risque d'être découvert[2]
Tout user est identifié comme acteur/contributeur du système et tous ses
échanges sont contrôlés. Donc même si l'on parle de dérives, dérapages,
^^^^^^^^^^^^^^^^^^^^^^^^^
failles humaines etc les autorités auront les moyens d'appréhender ton
"méchant".
Mais le système repose sur le principe du travail collaboratif, de la
confiance, de la redondance donc la communauté des users se
responsabilise et si un "méchant" commet une infraction ou un délit
alors il se retrouve mis à l'écart soit exclu du système.
Pour ton info dans l'équipe on est tous issu de la culture groupware et
partage de l'information puis est apparu il y a qq années le P2P. Va
jeter un oeil du côté du réseau Direct Connect car son mode de
fonctionnement nous a inspiré.
DEMONTRE le.
Non je t'ai déjà expliqué pourquoi.
Sinon à partir des infos que j'ai communiqué tu peux mener une analyse
et approfondir le sujet.
Donne accès aux mêmes infos textuelles à trois personne de ce
groupe (je pense en connaitre deux qui accepteraient). Une quatrième
personne, n'ayant pas d'accès direct à l'information poste ici une des
infos
(on suppose un certain délai qui fait que les trois personnes ont eu le
temps de lire l'info et l'ait fait). Et tu nous dis lequel de nous trois
est
à l'origine de la fuite. OK?
On est pas dans l'environnement de l'espace donc on ne démontrera rien.
Soit c'est inutile.
Et la réponse des autres est sans appel : en quoi ton système aurait
empèché
la publication de ce groupe???
Si les failles/vulnérabilités n'étaient pas rendues publiques nous n'en
serions pas là.
La différence c'est que la faille étant confidentielle pour beaucoup
(ceux
n'ayant pas accès à ton système), "ils" vont s'en prendre plein la
tronche
pour pas un rond.
Non c'est faux aux équipementiers (constructeurs, éditeurs) de
développer des produits dont l'architecture est beaucoup plus sécurisée
enfin aux users d'apprendre
de se former à l'usage de leur machine/environnement et de suivre les
conseils donnés.
Le problème est que non content de ne
pas répondre aux critiques concernant ton "modèle" tu enchaine les
contradictions internes.
Mensonges et dénigrements pour conclure sur ce point.
"LaDDL" == LaDDL writes:
"LaDDL" == LaDDL <alamaison@noos.fr> writes:
"LaDDL" == LaDDL writes:
Le terme "grand public" englobe tous les types d'utilisateurs : des
débutants aux plus expérimentés.
ah bon ? donc le "grand public" peut être simplifié en "public" ?
Tu as vraiment un problème de compréhension.
Les codes dangereux (je le précise à nouveau), exploits, malwares,
hacks
tools, etc n'ont pas à être rendu public.
Pourquoi ?
je ne veux pas de ta version "totalitariste" !
Avant de dénigrer et d'être injurieux informes-toi sur le sujet.
On ne t'a jamais éduqué ou appris la courtoisie ?!!!
Le terme "grand public" englobe tous les types d'utilisateurs : des
débutants aux plus expérimentés.
ah bon ? donc le "grand public" peut être simplifié en "public" ?
Tu as vraiment un problème de compréhension.
Les codes dangereux (je le précise à nouveau), exploits, malwares,
hacks
tools, etc n'ont pas à être rendu public.
Pourquoi ?
je ne veux pas de ta version "totalitariste" !
Avant de dénigrer et d'être injurieux informes-toi sur le sujet.
On ne t'a jamais éduqué ou appris la courtoisie ?!!!
Le terme "grand public" englobe tous les types d'utilisateurs : des
débutants aux plus expérimentés.
ah bon ? donc le "grand public" peut être simplifié en "public" ?
Tu as vraiment un problème de compréhension.
Les codes dangereux (je le précise à nouveau), exploits, malwares,
hacks
tools, etc n'ont pas à être rendu public.
Pourquoi ?
je ne veux pas de ta version "totalitariste" !
Avant de dénigrer et d'être injurieux informes-toi sur le sujet.
On ne t'a jamais éduqué ou appris la courtoisie ?!!!
Est-ce qu'aujourd'hui on empêche le traffic d'armes, drogues,
d'esclaves, et j'en passe ? Non. Pourquoi ? Parce que les Etats ne
peuvent pas tout contrôler/empêcher mais ils ont mis en place des
règles et systèmes permettant de gèrer ces problèmes et d'en limiter
les risques.
Ce sont des règles globales,
Oui.
et non limitées à une communauté
restreinte.
Si il y en a.
L'objectif de notre système repose sur cette même philosphie. Notre
(et non "mon") système a pour but de rassembler dans un espace de
confiance une communauté de users partageant de l'information
"sensible" en SI.
OK, en quoi cela apporte une solution au problème global ?
D'abord parce que je te l'ai dit nous pensons qu'il faut gèrer les
Je partage en partie ton propos. Mais au risque de me répéter, ces
problèmes que tu évoques doivent nous pousser (en tant que
professionnels) à prendre des mesures responsables à partir de
maintenant afin de limiter ces risques soit : - gèrer le partage de
l'information en SI ; - améliorer le traitement des vulnérabilités et
l'application des correctifs ;
- etc.
Des mesures qui _te_ (vous) semblent responsables et qui sont à la mode
en ce moment.
Tu peux le voir ainsi. Mais pour nous c'est depuis l'ouverture des SI
On prendra pour exemple la récente interview d'un mec de
Symantec (proprétaire de SécurityFocus) qui annonce clairement son
penchant pour une _pénalisation_ de la publication d'informations
susceptibles de servir dans le cadre d'un piratage.
Je t'ai déjà donné mon avis là-dessus et précédement encore.
Pour moi quand on parle de grand public je vois des individus tous
différents et uniques qui n'ont pas tous du mal à "configurer leur PC
pour jouer à Quake"...
Inutile d'en rajouter ou bien fais-moi signe.
Je te fais signe, parce que dans ton discours, tu es quand même sensé
laisser la porte ouverte à des non-professionnels (étudiants par
exemple). De fait, pour en définir l'accès, ta distinction grand
public/professionnels ne tient plus, à moins que le groupe des
professionnels soit un ensemble à géométrie variable.
C'est un débat en interne chez nous depuis longtemps. Mais on a tranché
Je n'aime pas le terme "restreint" je préfére employer le mot
"communauté". Car la philosophie du système repose sur les mêmes
principes de fonctionnement qu'un réseau d'échange ou d'un groupe de
discussion ou d'une liste de diffusion.
Ben pourtant, le terme de restreint peut tout à fait s'y appliquer.
Ok.
Je te l'ai dit nous souhaitons un système gratuit ou payant.
Euh, c'est sensé m'éclairer cette phrase ? La gratuité de l'accès à
ton système est quand même une barrière énorme, tu en conviendras.
Tout dépend du modèle choisi par les acteurs.
Le modèle économique reste à définir.
Si c'est payant, c'est limité de facto.
Oui.
Si c'est gratuit, il faudra de
toute manière montrer patte blanche.
Oui.
Donc ton système n'est rien de plus
que soit un service, genre ce que proposent les CERT, SecurityFocus, etc.,
Notre système s'adresse à ces acteurs là justement. Après c'est à eux de
soit un grand groupe de potes qui s'échnage de l'info en parallèle du
circuit normal, comme c'est déjà le cas des listes et autre groupes
privés.
C'est bien parce que c'est la cas que l'on n'est pas dans ce schéma là.
Simplement, toi (vous) tu rajoutes une couche d'accès contrôlé
par dessus.
C'est une zone de confiance pour la communauté des users. Je tiens à la
La globalisation d'un tel système diminue la masse d'information
disponible. De fait, ce manque d'information constitue une source
d'insécurité indéniable.
Faux. Pas de politique de sécurité de l'information = pas de gestion des
Le user aujourd'hui DOIT apprendre à maîtriser le niveau de sécurité
de son environnement, sa machine.
Tout à fait. Et pour moi, c'est certainement plus urgent que des
éventuelles mesures de limitation de la publication des infos.
C'est complémentaire. Ces actions/mesures doivent être prises en même
Cela passe par de la formation, sensibilisation aux appproches,
démarches, des conseils à suivre par exemple : -
http://www.cert.org/homeusers/
- http://www.claymania.com/safe-hex-fr.html
Mais pas seulement.
Oui il y a bien d'autres mesures de sécurité à prendre mais tu sais bien
Ces documents sont en ligne depuis longtemps, ça
n'empêche Swen de battre la campagne.
Je ne te dit pas le contraire. Cf ci-dessus.
Pire, même chez les professionnels
ça continue (et surtout chez les pros), Nimda, CodeRed et Slammer
tournent encore...
Entièrement d'accord.
Faux penches toi sur toutes les informations disponibles sur le sujet
ainsi que tes connaissances et tu verras que c'est possible. Sinon
attends quelque mois et nous aurons tout loisir de nous confronter à
nouveau.
Tu te fous de ma gueule là ?
Non.
Tu l'as _toi même_ concédé.
Oui dans ce cadre là (cf ci dessous) :
<3f5ccd77$0$29232$
À la question de la sortie par un membre de la communauté d'un code
source d'exploit :
"Tu poses le problèmes des failles humaines ici. On ne peut rien faire
et ce n'est pas à toi que je vais l'apprendre. Les dérives, dérapages
des usages de l'espace de confiance ne peuvent être entièrement
contrôlées. Tout comme n'importe quelle contre mesure de sécurité
système ou réseau."
Car les êtres humains sont défaillants.
<3f6025a0$0$20669$
À la question de la suppression d'éventuelles marques pouvant permettre
d'identifier la provenance dudit code source :
"> Dans mon exemple, il ne sera pas vraiment difficile de l'effacer.
On est d'accord."
Oui dans ton exemple.
En outre, à la question de la suppression d'éventuelles watermarks par
reverse-engineering, à part le "ça ne sera pas simple", aucune réponse.
Cf.
Parce que pour moi c'est de la falsification, du piratage donc si tu
Enfin, tu annonces qu'en cas d'infraction, tu auras des moyens de
retrouver a la fuite. À la question de savoir quelles mesures techniques
permettent de garantir cela, je n'ai _pas_ eu de réponse _du tout_.
Cf.
Presque la même réponse que ci-dessus et pour des questions évidentes de
Pour le reste, tu bottes en touche :
<3f6025a0$0$20669$
À la question du suivi d'une fuite (chose dont tu as précédemment
accepté l'impossibilité, cf. au dessus), tu trouves quand le moyen de
surenchérir :
"Oui dans ton exemple.
Non dans notre environnement. Mais bis repetita on en reparle dans
qq mois."
Oui je te le confirme une nouvelle fois.
Notre système n'empêche pas les dérapages, dérives, etc. Mais au
moins on sait qui en fait partie. Donc dans le cadre d'une enquête et
de recherches le travail s'en trouve "facilité".
tu as l'air d'oublier que les gens à qui tu ouvres ton accès ont les
compétences pour rendre l'enquête et la recherche difficile.
Non.
Mais de ce
côté, j'attends de voir les mesures techniques mises en place et me
range du côté d'Éric. Tu ouvres ton système à 50 personnes, avec
accès à la même base d'information, l'un d'eux fait transpirer de
l'info et tu le retrouves.
Je ne vais pas expliquer ici les méthodes employer par les autorités
On ne cherche pas à tout contrôler. D'ailleurs c'est impossible avec
l'architecture du réseau actuellement. En outre il est possible comme
je te l'ai déjà souligné de maîtriser les risques.
De maîtriser les risques ? Pour ton système à la limite si on te
concède tout ce tu avances, mais pour le reste ? Et d'ailleurs, il
faudrait aussi te concéder que la circulation d'information pose un
problème, chose sur laquelle nous ne sommes absolument pas d'accord.
Ce qui me dérange dans ton discours, c'est que tu n'arrêtes pas de
mélanger ta communauté et Internet.
Oui car cette communauté s'appuie sur un réseau de réseaux = Internet.
Dis nous cache que tu veux bâtir
une communauté d'échange d'info à accès restreint et que tu veux
t'assurer qu'il n'y ait pas de fuite,
Nous on appelle ça une zone de confiance et non comme toi un système
mais ne nous dit pas que ça va
apporter des solutions au problème globale de l'insécurité sur Internet.
Je (nous) n'ai pas cette prétention. En outre on oeuvre en ce sens.
Vois-tu notre position est justement que les groupes/teams (blancs, gris
et noirs) avec lesquels nous cohabitons quels que soient leurs objectifs
bienveillants ou malveillants touchent moins les users "lambda"
(particuliers, entreprises privées ou publiques, administrations, etc)
donc on leur propose un espace de jeu. Si tu préfères.
Je préfère cette formulation oui. Ça fait tout de suite plus modeste.Non c'est faux je ne vois pas en quoi le "grand public" se trouve léser
de quoique ce soit. Explications plus haut dans le message. Au contraire
on le protège contre les risques qu'il peut rencontrer.
Non.
On en rend pas quelqu'un responsable en le rendant dépendant. La
suppression de l'information pertinente, qui serait la conséquence de la
globalisation de ton modèle, n'aide pas les gens à envisager clairement
les risques auxquels ils sont exposés.
Excuses-moi mais pour reprendre l'exemple de la voisine de je ne sais
"Donne un poisson à celui qui a faim, il aura faim demain. Apprends lui
à pêcher, il n'aura plus jamais faim."On est pas dans ce monde là mon cher et nous le savons tous les deux
donc arrêtes avec ce genre de connerie stp. Détrompes-toi les espaces
de confiance ou réseaux distribués privés vont de plus en plus se
développer pour répondre à des usages et services privés ou public
afin de favoriser les échanges en toute confiance avec des preuves.
Ah mais certainement, mais là on parle de _ton_ système, qui est un
système de distribution d'information de sécurité à une communauté
plus ou moins ouvertes.
Un système de confiance/partage.
Arrête de faire déborder le contexte, soit vers
Internet en général, soit vers les architectures de confiance en
général.
Non il s'appuie sur les deux.
Notre système se fonde sur un usage extrême voire radical
volontairement choisi afin d'étudier toutes les possibilités et
limites.
Maintenant, il est question d'étudier ? Avant, c'était apporter une
solution au problème de la sécurité sur Internet.
Je t'ai expliqué que nous étions dans le cadre d'un projet de R&D
Merci.
Mais ça fout tout par terre. Parce que la confiance qu'on peut accorder
dans une architecture de confiance (justement) se mesure à la confiance
qu'on peut accorder à son maillon le plus faible. Donc, si dans ton
groupe, tu as des brebis galeuses, ton système ne sert à rien.
Oui. Mais même si l'usurpation d'identité est possible/vraissemblable
Donc d'un côté tu m'a communiqué de "nombreuses informations", mais de
l'autre tu conviens qu'elles sont insuffisantes pour juger ton système.
Tu n'avais pas besoin de me le dire, je m'en étais clairement aperçu
(comme d'autres d'ailleurs). Et c'est bien pour ça que tout le monde te
dit que tu argumentes dans le vide et que tu ne démontres rien.
J'argumente sur ce que vous offrez comme réponses.
Manifestement non. J'ai suivi tous tes liens, et j'ai encore des questions
qui restent sans réponse, en particulier tout ce qui tourne autour des
mesures techniques de watermarking.
I've never talked about watermarking. Ask to your friend Nicob.
Sinon je te le redis nous aurons l'occasion d'en reparler.
"on verra plus tard".Je fais une distinction entre "grand public" et "professionnels". Le
"grand public" regroupe des individus différents niveaux et uniques. Je
ne vois rien de bizarre ou choquant ici. Depuis que je pratique les
réseaux, d'abord en tant que particulier puis en tant que
professionnel, j'ai cotoyé et rencontré au fil des années de
nombreuses personnes passionnées d'informatiques/SI pas du tout
professionnelles et aussi compétentes que certains acteurs dans le
métier. Certaines blanches d'autres grises ou noires. Voilà.
La question elle est claire non ? Qui aura accès à ton système ? tu
nous parles de grand public, de professionnels, puis d'individus du grand
public, mais compétents quand même, on a les étudiants, etc.
On s'en contrefout de savoir que tu as cotoyé pleins de gens passionnés
et compétents. Ce que je voudrais, c'est que tu me définisses une fois
pour toutes ce tu appelles "le grand public" quand tu écris :
<3f6aa9de$0$5227$
"On considère que le grand public n'a pas à avoir accès à ce type
d'information (codes, exploits, malwares, hacks tools, etc)."
Réponses plus haut dans le post.
De même, tu pourras aussi définir ce que tu appelles les
"professionnels", parce que pour autant que je sache, un étudiant en
master SSI par exemple n'est pas forcément un professionnel de la
sécurité informatique. Mais je crains que la distinction ne soit pas
possible, du simple fait de la réalité d'Internet.
On distingue bien les différents users du système et tous n'ont pas
Par exemple, Niels
Provos n'est pas un professionnel de la sécurité informatique, pourtant,
c'en est indéniablement un acteur (OpenSSH, Systrace, Honeyd, etc.).
Quand Philippe Biondi a commencé à coder pour LIDS, il était étudiant,
et non professionnel. C'est ce genre d'exemples qui amha font que
j'attends une catégorisation précise des gens qui ont accès à ton
système ou non.
Réponse juste au-dessus.
En résumé, si j'ai bien compris, tu veux monter un système de
confiance pour partage d'informations pour une communauté restreinte
d'experts.
Là, dis comme ça, je dis OK.
Communauté de users avec des autorisations d'accès restreints à
Mais présenté comme une
solution à l'insécurité sur le net, je dis non.
Le système contribue à gèrer/maitriser les risques et non à sécuriser
Est-ce qu'aujourd'hui on empêche le traffic d'armes, drogues,
d'esclaves, et j'en passe ? Non. Pourquoi ? Parce que les Etats ne
peuvent pas tout contrôler/empêcher mais ils ont mis en place des
règles et systèmes permettant de gèrer ces problèmes et d'en limiter
les risques.
Ce sont des règles globales,
Oui.
et non limitées à une communauté
restreinte.
Si il y en a.
L'objectif de notre système repose sur cette même philosphie. Notre
(et non "mon") système a pour but de rassembler dans un espace de
confiance une communauté de users partageant de l'information
"sensible" en SI.
OK, en quoi cela apporte une solution au problème global ?
D'abord parce que je te l'ai dit nous pensons qu'il faut gèrer les
Je partage en partie ton propos. Mais au risque de me répéter, ces
problèmes que tu évoques doivent nous pousser (en tant que
professionnels) à prendre des mesures responsables à partir de
maintenant afin de limiter ces risques soit : - gèrer le partage de
l'information en SI ; - améliorer le traitement des vulnérabilités et
l'application des correctifs ;
- etc.
Des mesures qui _te_ (vous) semblent responsables et qui sont à la mode
en ce moment.
Tu peux le voir ainsi. Mais pour nous c'est depuis l'ouverture des SI
On prendra pour exemple la récente interview d'un mec de
Symantec (proprétaire de SécurityFocus) qui annonce clairement son
penchant pour une _pénalisation_ de la publication d'informations
susceptibles de servir dans le cadre d'un piratage.
Je t'ai déjà donné mon avis là-dessus et précédement encore.
Pour moi quand on parle de grand public je vois des individus tous
différents et uniques qui n'ont pas tous du mal à "configurer leur PC
pour jouer à Quake"...
Inutile d'en rajouter ou bien fais-moi signe.
Je te fais signe, parce que dans ton discours, tu es quand même sensé
laisser la porte ouverte à des non-professionnels (étudiants par
exemple). De fait, pour en définir l'accès, ta distinction grand
public/professionnels ne tient plus, à moins que le groupe des
professionnels soit un ensemble à géométrie variable.
C'est un débat en interne chez nous depuis longtemps. Mais on a tranché
Je n'aime pas le terme "restreint" je préfére employer le mot
"communauté". Car la philosophie du système repose sur les mêmes
principes de fonctionnement qu'un réseau d'échange ou d'un groupe de
discussion ou d'une liste de diffusion.
Ben pourtant, le terme de restreint peut tout à fait s'y appliquer.
Ok.
Je te l'ai dit nous souhaitons un système gratuit ou payant.
Euh, c'est sensé m'éclairer cette phrase ? La gratuité de l'accès à
ton système est quand même une barrière énorme, tu en conviendras.
Tout dépend du modèle choisi par les acteurs.
Le modèle économique reste à définir.
Si c'est payant, c'est limité de facto.
Oui.
Si c'est gratuit, il faudra de
toute manière montrer patte blanche.
Oui.
Donc ton système n'est rien de plus
que soit un service, genre ce que proposent les CERT, SecurityFocus, etc.,
Notre système s'adresse à ces acteurs là justement. Après c'est à eux de
soit un grand groupe de potes qui s'échnage de l'info en parallèle du
circuit normal, comme c'est déjà le cas des listes et autre groupes
privés.
C'est bien parce que c'est la cas que l'on n'est pas dans ce schéma là.
Simplement, toi (vous) tu rajoutes une couche d'accès contrôlé
par dessus.
C'est une zone de confiance pour la communauté des users. Je tiens à la
La globalisation d'un tel système diminue la masse d'information
disponible. De fait, ce manque d'information constitue une source
d'insécurité indéniable.
Faux. Pas de politique de sécurité de l'information = pas de gestion des
Le user aujourd'hui DOIT apprendre à maîtriser le niveau de sécurité
de son environnement, sa machine.
Tout à fait. Et pour moi, c'est certainement plus urgent que des
éventuelles mesures de limitation de la publication des infos.
C'est complémentaire. Ces actions/mesures doivent être prises en même
Cela passe par de la formation, sensibilisation aux appproches,
démarches, des conseils à suivre par exemple : -
http://www.cert.org/homeusers/
- http://www.claymania.com/safe-hex-fr.html
Mais pas seulement.
Oui il y a bien d'autres mesures de sécurité à prendre mais tu sais bien
Ces documents sont en ligne depuis longtemps, ça
n'empêche Swen de battre la campagne.
Je ne te dit pas le contraire. Cf ci-dessus.
Pire, même chez les professionnels
ça continue (et surtout chez les pros), Nimda, CodeRed et Slammer
tournent encore...
Entièrement d'accord.
Faux penches toi sur toutes les informations disponibles sur le sujet
ainsi que tes connaissances et tu verras que c'est possible. Sinon
attends quelque mois et nous aurons tout loisir de nous confronter à
nouveau.
Tu te fous de ma gueule là ?
Non.
Tu l'as _toi même_ concédé.
Oui dans ce cadre là (cf ci dessous) :
<3f5ccd77$0$29232$79c14f64@nan-newsreader-03.noos.net>
À la question de la sortie par un membre de la communauté d'un code
source d'exploit :
"Tu poses le problèmes des failles humaines ici. On ne peut rien faire
et ce n'est pas à toi que je vais l'apprendre. Les dérives, dérapages
des usages de l'espace de confiance ne peuvent être entièrement
contrôlées. Tout comme n'importe quelle contre mesure de sécurité
système ou réseau."
Car les êtres humains sont défaillants.
<3f6025a0$0$20669$79c14f64@nan-newsreader-03.noos.net>
À la question de la suppression d'éventuelles marques pouvant permettre
d'identifier la provenance dudit code source :
"> Dans mon exemple, il ne sera pas vraiment difficile de l'effacer.
On est d'accord."
Oui dans ton exemple.
En outre, à la question de la suppression d'éventuelles watermarks par
reverse-engineering, à part le "ça ne sera pas simple", aucune réponse.
Cf. <pan.2003.09.09.14.26.29.856436@cartel-securite.fr>
Parce que pour moi c'est de la falsification, du piratage donc si tu
Enfin, tu annonces qu'en cas d'infraction, tu auras des moyens de
retrouver a la fuite. À la question de savoir quelles mesures techniques
permettent de garantir cela, je n'ai _pas_ eu de réponse _du tout_.
Cf. <pan.2003.09.09.14.26.29.856436@cartel-securite.fr>
Presque la même réponse que ci-dessus et pour des questions évidentes de
Pour le reste, tu bottes en touche :
<3f6025a0$0$20669$79c14f64@nan-newsreader-03.noos.net>
À la question du suivi d'une fuite (chose dont tu as précédemment
accepté l'impossibilité, cf. au dessus), tu trouves quand le moyen de
surenchérir :
"Oui dans ton exemple.
Non dans notre environnement. Mais bis repetita on en reparle dans
qq mois."
Oui je te le confirme une nouvelle fois.
Notre système n'empêche pas les dérapages, dérives, etc. Mais au
moins on sait qui en fait partie. Donc dans le cadre d'une enquête et
de recherches le travail s'en trouve "facilité".
tu as l'air d'oublier que les gens à qui tu ouvres ton accès ont les
compétences pour rendre l'enquête et la recherche difficile.
Non.
Mais de ce
côté, j'attends de voir les mesures techniques mises en place et me
range du côté d'Éric. Tu ouvres ton système à 50 personnes, avec
accès à la même base d'information, l'un d'eux fait transpirer de
l'info et tu le retrouves.
Je ne vais pas expliquer ici les méthodes employer par les autorités
On ne cherche pas à tout contrôler. D'ailleurs c'est impossible avec
l'architecture du réseau actuellement. En outre il est possible comme
je te l'ai déjà souligné de maîtriser les risques.
De maîtriser les risques ? Pour ton système à la limite si on te
concède tout ce tu avances, mais pour le reste ? Et d'ailleurs, il
faudrait aussi te concéder que la circulation d'information pose un
problème, chose sur laquelle nous ne sommes absolument pas d'accord.
Ce qui me dérange dans ton discours, c'est que tu n'arrêtes pas de
mélanger ta communauté et Internet.
Oui car cette communauté s'appuie sur un réseau de réseaux = Internet.
Dis nous cache que tu veux bâtir
une communauté d'échange d'info à accès restreint et que tu veux
t'assurer qu'il n'y ait pas de fuite,
Nous on appelle ça une zone de confiance et non comme toi un système
mais ne nous dit pas que ça va
apporter des solutions au problème globale de l'insécurité sur Internet.
Je (nous) n'ai pas cette prétention. En outre on oeuvre en ce sens.
Vois-tu notre position est justement que les groupes/teams (blancs, gris
et noirs) avec lesquels nous cohabitons quels que soient leurs objectifs
bienveillants ou malveillants touchent moins les users "lambda"
(particuliers, entreprises privées ou publiques, administrations, etc)
donc on leur propose un espace de jeu. Si tu préfères.
Je préfère cette formulation oui. Ça fait tout de suite plus modeste.
Non c'est faux je ne vois pas en quoi le "grand public" se trouve léser
de quoique ce soit. Explications plus haut dans le message. Au contraire
on le protège contre les risques qu'il peut rencontrer.
Non.
On en rend pas quelqu'un responsable en le rendant dépendant. La
suppression de l'information pertinente, qui serait la conséquence de la
globalisation de ton modèle, n'aide pas les gens à envisager clairement
les risques auxquels ils sont exposés.
Excuses-moi mais pour reprendre l'exemple de la voisine de je ne sais
"Donne un poisson à celui qui a faim, il aura faim demain. Apprends lui
à pêcher, il n'aura plus jamais faim."
On est pas dans ce monde là mon cher et nous le savons tous les deux
donc arrêtes avec ce genre de connerie stp. Détrompes-toi les espaces
de confiance ou réseaux distribués privés vont de plus en plus se
développer pour répondre à des usages et services privés ou public
afin de favoriser les échanges en toute confiance avec des preuves.
Ah mais certainement, mais là on parle de _ton_ système, qui est un
système de distribution d'information de sécurité à une communauté
plus ou moins ouvertes.
Un système de confiance/partage.
Arrête de faire déborder le contexte, soit vers
Internet en général, soit vers les architectures de confiance en
général.
Non il s'appuie sur les deux.
Notre système se fonde sur un usage extrême voire radical
volontairement choisi afin d'étudier toutes les possibilités et
limites.
Maintenant, il est question d'étudier ? Avant, c'était apporter une
solution au problème de la sécurité sur Internet.
Je t'ai expliqué que nous étions dans le cadre d'un projet de R&D
Merci.
Mais ça fout tout par terre. Parce que la confiance qu'on peut accorder
dans une architecture de confiance (justement) se mesure à la confiance
qu'on peut accorder à son maillon le plus faible. Donc, si dans ton
groupe, tu as des brebis galeuses, ton système ne sert à rien.
Oui. Mais même si l'usurpation d'identité est possible/vraissemblable
Donc d'un côté tu m'a communiqué de "nombreuses informations", mais de
l'autre tu conviens qu'elles sont insuffisantes pour juger ton système.
Tu n'avais pas besoin de me le dire, je m'en étais clairement aperçu
(comme d'autres d'ailleurs). Et c'est bien pour ça que tout le monde te
dit que tu argumentes dans le vide et que tu ne démontres rien.
J'argumente sur ce que vous offrez comme réponses.
Manifestement non. J'ai suivi tous tes liens, et j'ai encore des questions
qui restent sans réponse, en particulier tout ce qui tourne autour des
mesures techniques de watermarking.
I've never talked about watermarking. Ask to your friend Nicob.
Sinon je te le redis nous aurons l'occasion d'en reparler.
"on verra plus tard".
Je fais une distinction entre "grand public" et "professionnels". Le
"grand public" regroupe des individus différents niveaux et uniques. Je
ne vois rien de bizarre ou choquant ici. Depuis que je pratique les
réseaux, d'abord en tant que particulier puis en tant que
professionnel, j'ai cotoyé et rencontré au fil des années de
nombreuses personnes passionnées d'informatiques/SI pas du tout
professionnelles et aussi compétentes que certains acteurs dans le
métier. Certaines blanches d'autres grises ou noires. Voilà.
La question elle est claire non ? Qui aura accès à ton système ? tu
nous parles de grand public, de professionnels, puis d'individus du grand
public, mais compétents quand même, on a les étudiants, etc.
On s'en contrefout de savoir que tu as cotoyé pleins de gens passionnés
et compétents. Ce que je voudrais, c'est que tu me définisses une fois
pour toutes ce tu appelles "le grand public" quand tu écris :
<3f6aa9de$0$5227$79c14f64@nan-newsreader-02.noos.net>
"On considère que le grand public n'a pas à avoir accès à ce type
d'information (codes, exploits, malwares, hacks tools, etc)."
Réponses plus haut dans le post.
De même, tu pourras aussi définir ce que tu appelles les
"professionnels", parce que pour autant que je sache, un étudiant en
master SSI par exemple n'est pas forcément un professionnel de la
sécurité informatique. Mais je crains que la distinction ne soit pas
possible, du simple fait de la réalité d'Internet.
On distingue bien les différents users du système et tous n'ont pas
Par exemple, Niels
Provos n'est pas un professionnel de la sécurité informatique, pourtant,
c'en est indéniablement un acteur (OpenSSH, Systrace, Honeyd, etc.).
Quand Philippe Biondi a commencé à coder pour LIDS, il était étudiant,
et non professionnel. C'est ce genre d'exemples qui amha font que
j'attends une catégorisation précise des gens qui ont accès à ton
système ou non.
Réponse juste au-dessus.
En résumé, si j'ai bien compris, tu veux monter un système de
confiance pour partage d'informations pour une communauté restreinte
d'experts.
Là, dis comme ça, je dis OK.
Communauté de users avec des autorisations d'accès restreints à
Mais présenté comme une
solution à l'insécurité sur le net, je dis non.
Le système contribue à gèrer/maitriser les risques et non à sécuriser
Est-ce qu'aujourd'hui on empêche le traffic d'armes, drogues,
d'esclaves, et j'en passe ? Non. Pourquoi ? Parce que les Etats ne
peuvent pas tout contrôler/empêcher mais ils ont mis en place des
règles et systèmes permettant de gèrer ces problèmes et d'en limiter
les risques.
Ce sont des règles globales,
Oui.
et non limitées à une communauté
restreinte.
Si il y en a.
L'objectif de notre système repose sur cette même philosphie. Notre
(et non "mon") système a pour but de rassembler dans un espace de
confiance une communauté de users partageant de l'information
"sensible" en SI.
OK, en quoi cela apporte une solution au problème global ?
D'abord parce que je te l'ai dit nous pensons qu'il faut gèrer les
Je partage en partie ton propos. Mais au risque de me répéter, ces
problèmes que tu évoques doivent nous pousser (en tant que
professionnels) à prendre des mesures responsables à partir de
maintenant afin de limiter ces risques soit : - gèrer le partage de
l'information en SI ; - améliorer le traitement des vulnérabilités et
l'application des correctifs ;
- etc.
Des mesures qui _te_ (vous) semblent responsables et qui sont à la mode
en ce moment.
Tu peux le voir ainsi. Mais pour nous c'est depuis l'ouverture des SI
On prendra pour exemple la récente interview d'un mec de
Symantec (proprétaire de SécurityFocus) qui annonce clairement son
penchant pour une _pénalisation_ de la publication d'informations
susceptibles de servir dans le cadre d'un piratage.
Je t'ai déjà donné mon avis là-dessus et précédement encore.
Pour moi quand on parle de grand public je vois des individus tous
différents et uniques qui n'ont pas tous du mal à "configurer leur PC
pour jouer à Quake"...
Inutile d'en rajouter ou bien fais-moi signe.
Je te fais signe, parce que dans ton discours, tu es quand même sensé
laisser la porte ouverte à des non-professionnels (étudiants par
exemple). De fait, pour en définir l'accès, ta distinction grand
public/professionnels ne tient plus, à moins que le groupe des
professionnels soit un ensemble à géométrie variable.
C'est un débat en interne chez nous depuis longtemps. Mais on a tranché
Je n'aime pas le terme "restreint" je préfére employer le mot
"communauté". Car la philosophie du système repose sur les mêmes
principes de fonctionnement qu'un réseau d'échange ou d'un groupe de
discussion ou d'une liste de diffusion.
Ben pourtant, le terme de restreint peut tout à fait s'y appliquer.
Ok.
Je te l'ai dit nous souhaitons un système gratuit ou payant.
Euh, c'est sensé m'éclairer cette phrase ? La gratuité de l'accès à
ton système est quand même une barrière énorme, tu en conviendras.
Tout dépend du modèle choisi par les acteurs.
Le modèle économique reste à définir.
Si c'est payant, c'est limité de facto.
Oui.
Si c'est gratuit, il faudra de
toute manière montrer patte blanche.
Oui.
Donc ton système n'est rien de plus
que soit un service, genre ce que proposent les CERT, SecurityFocus, etc.,
Notre système s'adresse à ces acteurs là justement. Après c'est à eux de
soit un grand groupe de potes qui s'échnage de l'info en parallèle du
circuit normal, comme c'est déjà le cas des listes et autre groupes
privés.
C'est bien parce que c'est la cas que l'on n'est pas dans ce schéma là.
Simplement, toi (vous) tu rajoutes une couche d'accès contrôlé
par dessus.
C'est une zone de confiance pour la communauté des users. Je tiens à la
La globalisation d'un tel système diminue la masse d'information
disponible. De fait, ce manque d'information constitue une source
d'insécurité indéniable.
Faux. Pas de politique de sécurité de l'information = pas de gestion des
Le user aujourd'hui DOIT apprendre à maîtriser le niveau de sécurité
de son environnement, sa machine.
Tout à fait. Et pour moi, c'est certainement plus urgent que des
éventuelles mesures de limitation de la publication des infos.
C'est complémentaire. Ces actions/mesures doivent être prises en même
Cela passe par de la formation, sensibilisation aux appproches,
démarches, des conseils à suivre par exemple : -
http://www.cert.org/homeusers/
- http://www.claymania.com/safe-hex-fr.html
Mais pas seulement.
Oui il y a bien d'autres mesures de sécurité à prendre mais tu sais bien
Ces documents sont en ligne depuis longtemps, ça
n'empêche Swen de battre la campagne.
Je ne te dit pas le contraire. Cf ci-dessus.
Pire, même chez les professionnels
ça continue (et surtout chez les pros), Nimda, CodeRed et Slammer
tournent encore...
Entièrement d'accord.
Faux penches toi sur toutes les informations disponibles sur le sujet
ainsi que tes connaissances et tu verras que c'est possible. Sinon
attends quelque mois et nous aurons tout loisir de nous confronter à
nouveau.
Tu te fous de ma gueule là ?
Non.
Tu l'as _toi même_ concédé.
Oui dans ce cadre là (cf ci dessous) :
<3f5ccd77$0$29232$
À la question de la sortie par un membre de la communauté d'un code
source d'exploit :
"Tu poses le problèmes des failles humaines ici. On ne peut rien faire
et ce n'est pas à toi que je vais l'apprendre. Les dérives, dérapages
des usages de l'espace de confiance ne peuvent être entièrement
contrôlées. Tout comme n'importe quelle contre mesure de sécurité
système ou réseau."
Car les êtres humains sont défaillants.
<3f6025a0$0$20669$
À la question de la suppression d'éventuelles marques pouvant permettre
d'identifier la provenance dudit code source :
"> Dans mon exemple, il ne sera pas vraiment difficile de l'effacer.
On est d'accord."
Oui dans ton exemple.
En outre, à la question de la suppression d'éventuelles watermarks par
reverse-engineering, à part le "ça ne sera pas simple", aucune réponse.
Cf.
Parce que pour moi c'est de la falsification, du piratage donc si tu
Enfin, tu annonces qu'en cas d'infraction, tu auras des moyens de
retrouver a la fuite. À la question de savoir quelles mesures techniques
permettent de garantir cela, je n'ai _pas_ eu de réponse _du tout_.
Cf.
Presque la même réponse que ci-dessus et pour des questions évidentes de
Pour le reste, tu bottes en touche :
<3f6025a0$0$20669$
À la question du suivi d'une fuite (chose dont tu as précédemment
accepté l'impossibilité, cf. au dessus), tu trouves quand le moyen de
surenchérir :
"Oui dans ton exemple.
Non dans notre environnement. Mais bis repetita on en reparle dans
qq mois."
Oui je te le confirme une nouvelle fois.
Notre système n'empêche pas les dérapages, dérives, etc. Mais au
moins on sait qui en fait partie. Donc dans le cadre d'une enquête et
de recherches le travail s'en trouve "facilité".
tu as l'air d'oublier que les gens à qui tu ouvres ton accès ont les
compétences pour rendre l'enquête et la recherche difficile.
Non.
Mais de ce
côté, j'attends de voir les mesures techniques mises en place et me
range du côté d'Éric. Tu ouvres ton système à 50 personnes, avec
accès à la même base d'information, l'un d'eux fait transpirer de
l'info et tu le retrouves.
Je ne vais pas expliquer ici les méthodes employer par les autorités
On ne cherche pas à tout contrôler. D'ailleurs c'est impossible avec
l'architecture du réseau actuellement. En outre il est possible comme
je te l'ai déjà souligné de maîtriser les risques.
De maîtriser les risques ? Pour ton système à la limite si on te
concède tout ce tu avances, mais pour le reste ? Et d'ailleurs, il
faudrait aussi te concéder que la circulation d'information pose un
problème, chose sur laquelle nous ne sommes absolument pas d'accord.
Ce qui me dérange dans ton discours, c'est que tu n'arrêtes pas de
mélanger ta communauté et Internet.
Oui car cette communauté s'appuie sur un réseau de réseaux = Internet.
Dis nous cache que tu veux bâtir
une communauté d'échange d'info à accès restreint et que tu veux
t'assurer qu'il n'y ait pas de fuite,
Nous on appelle ça une zone de confiance et non comme toi un système
mais ne nous dit pas que ça va
apporter des solutions au problème globale de l'insécurité sur Internet.
Je (nous) n'ai pas cette prétention. En outre on oeuvre en ce sens.
Vois-tu notre position est justement que les groupes/teams (blancs, gris
et noirs) avec lesquels nous cohabitons quels que soient leurs objectifs
bienveillants ou malveillants touchent moins les users "lambda"
(particuliers, entreprises privées ou publiques, administrations, etc)
donc on leur propose un espace de jeu. Si tu préfères.
Je préfère cette formulation oui. Ça fait tout de suite plus modeste.Non c'est faux je ne vois pas en quoi le "grand public" se trouve léser
de quoique ce soit. Explications plus haut dans le message. Au contraire
on le protège contre les risques qu'il peut rencontrer.
Non.
On en rend pas quelqu'un responsable en le rendant dépendant. La
suppression de l'information pertinente, qui serait la conséquence de la
globalisation de ton modèle, n'aide pas les gens à envisager clairement
les risques auxquels ils sont exposés.
Excuses-moi mais pour reprendre l'exemple de la voisine de je ne sais
"Donne un poisson à celui qui a faim, il aura faim demain. Apprends lui
à pêcher, il n'aura plus jamais faim."On est pas dans ce monde là mon cher et nous le savons tous les deux
donc arrêtes avec ce genre de connerie stp. Détrompes-toi les espaces
de confiance ou réseaux distribués privés vont de plus en plus se
développer pour répondre à des usages et services privés ou public
afin de favoriser les échanges en toute confiance avec des preuves.
Ah mais certainement, mais là on parle de _ton_ système, qui est un
système de distribution d'information de sécurité à une communauté
plus ou moins ouvertes.
Un système de confiance/partage.
Arrête de faire déborder le contexte, soit vers
Internet en général, soit vers les architectures de confiance en
général.
Non il s'appuie sur les deux.
Notre système se fonde sur un usage extrême voire radical
volontairement choisi afin d'étudier toutes les possibilités et
limites.
Maintenant, il est question d'étudier ? Avant, c'était apporter une
solution au problème de la sécurité sur Internet.
Je t'ai expliqué que nous étions dans le cadre d'un projet de R&D
Merci.
Mais ça fout tout par terre. Parce que la confiance qu'on peut accorder
dans une architecture de confiance (justement) se mesure à la confiance
qu'on peut accorder à son maillon le plus faible. Donc, si dans ton
groupe, tu as des brebis galeuses, ton système ne sert à rien.
Oui. Mais même si l'usurpation d'identité est possible/vraissemblable
Donc d'un côté tu m'a communiqué de "nombreuses informations", mais de
l'autre tu conviens qu'elles sont insuffisantes pour juger ton système.
Tu n'avais pas besoin de me le dire, je m'en étais clairement aperçu
(comme d'autres d'ailleurs). Et c'est bien pour ça que tout le monde te
dit que tu argumentes dans le vide et que tu ne démontres rien.
J'argumente sur ce que vous offrez comme réponses.
Manifestement non. J'ai suivi tous tes liens, et j'ai encore des questions
qui restent sans réponse, en particulier tout ce qui tourne autour des
mesures techniques de watermarking.
I've never talked about watermarking. Ask to your friend Nicob.
Sinon je te le redis nous aurons l'occasion d'en reparler.
"on verra plus tard".Je fais une distinction entre "grand public" et "professionnels". Le
"grand public" regroupe des individus différents niveaux et uniques. Je
ne vois rien de bizarre ou choquant ici. Depuis que je pratique les
réseaux, d'abord en tant que particulier puis en tant que
professionnel, j'ai cotoyé et rencontré au fil des années de
nombreuses personnes passionnées d'informatiques/SI pas du tout
professionnelles et aussi compétentes que certains acteurs dans le
métier. Certaines blanches d'autres grises ou noires. Voilà.
La question elle est claire non ? Qui aura accès à ton système ? tu
nous parles de grand public, de professionnels, puis d'individus du grand
public, mais compétents quand même, on a les étudiants, etc.
On s'en contrefout de savoir que tu as cotoyé pleins de gens passionnés
et compétents. Ce que je voudrais, c'est que tu me définisses une fois
pour toutes ce tu appelles "le grand public" quand tu écris :
<3f6aa9de$0$5227$
"On considère que le grand public n'a pas à avoir accès à ce type
d'information (codes, exploits, malwares, hacks tools, etc)."
Réponses plus haut dans le post.
De même, tu pourras aussi définir ce que tu appelles les
"professionnels", parce que pour autant que je sache, un étudiant en
master SSI par exemple n'est pas forcément un professionnel de la
sécurité informatique. Mais je crains que la distinction ne soit pas
possible, du simple fait de la réalité d'Internet.
On distingue bien les différents users du système et tous n'ont pas
Par exemple, Niels
Provos n'est pas un professionnel de la sécurité informatique, pourtant,
c'en est indéniablement un acteur (OpenSSH, Systrace, Honeyd, etc.).
Quand Philippe Biondi a commencé à coder pour LIDS, il était étudiant,
et non professionnel. C'est ce genre d'exemples qui amha font que
j'attends une catégorisation précise des gens qui ont accès à ton
système ou non.
Réponse juste au-dessus.
En résumé, si j'ai bien compris, tu veux monter un système de
confiance pour partage d'informations pour une communauté restreinte
d'experts.
Là, dis comme ça, je dis OK.
Communauté de users avec des autorisations d'accès restreints à
Mais présenté comme une
solution à l'insécurité sur le net, je dis non.
Le système contribue à gèrer/maitriser les risques et non à sécuriser
Je connais un patron d'une société quotée dans le domaine de la
sécurité informatique que intervenaient ici en tant que personne
physique et ne jugeaient pas nécessaire de le faire sous couvert
d'anonymat... Idem pour les employés de telle ou telle société.
Et ni pour l'un, ni pour les autres, cela n'a jamais prêté à confusion
que dans l'esprit d'un ou deux mono-cérébrés que l'on repère de loin.
Tout simplement parce que leur discours ne prête pas à confusion et
qu'ils ne font pas l'apologie de leurs produits.
Il fut même un temps où un représentant de Look'n'stop intervenait ici
en affichant clairement son appartenance, puisqu'il utilisait le nom du
produit comme pseudonyme. Et s'il a été fichu à la porte ce n'est que
de part son discours, beaucoup trop promotionnel. Lorsqu'il oubliait sa
démagogie, ses messages étaient approuvés sans aucuns problèmes.
Je connais un patron d'une société quotée dans le domaine de la
sécurité informatique que intervenaient ici en tant que personne
physique et ne jugeaient pas nécessaire de le faire sous couvert
d'anonymat... Idem pour les employés de telle ou telle société.
Et ni pour l'un, ni pour les autres, cela n'a jamais prêté à confusion
que dans l'esprit d'un ou deux mono-cérébrés que l'on repère de loin.
Tout simplement parce que leur discours ne prête pas à confusion et
qu'ils ne font pas l'apologie de leurs produits.
Il fut même un temps où un représentant de Look'n'stop intervenait ici
en affichant clairement son appartenance, puisqu'il utilisait le nom du
produit comme pseudonyme. Et s'il a été fichu à la porte ce n'est que
de part son discours, beaucoup trop promotionnel. Lorsqu'il oubliait sa
démagogie, ses messages étaient approuvés sans aucuns problèmes.
Je connais un patron d'une société quotée dans le domaine de la
sécurité informatique que intervenaient ici en tant que personne
physique et ne jugeaient pas nécessaire de le faire sous couvert
d'anonymat... Idem pour les employés de telle ou telle société.
Et ni pour l'un, ni pour les autres, cela n'a jamais prêté à confusion
que dans l'esprit d'un ou deux mono-cérébrés que l'on repère de loin.
Tout simplement parce que leur discours ne prête pas à confusion et
qu'ils ne font pas l'apologie de leurs produits.
Il fut même un temps où un représentant de Look'n'stop intervenait ici
en affichant clairement son appartenance, puisqu'il utilisait le nom du
produit comme pseudonyme. Et s'il a été fichu à la porte ce n'est que
de part son discours, beaucoup trop promotionnel. Lorsqu'il oubliait sa
démagogie, ses messages étaient approuvés sans aucuns problèmes.
