Sommaire de la revue de presse de l'April pour la semaine 39
- [zdnet.fr] Le logiciel libre manque de femmes, des femmes réagissent
- [journaldunet.com] 82% des entreprises font appel à l'Open Source en 2009
- [20min.ch] Vaud primé pour son action en faveur des logiciels libres
- [Rue89] Attention quand vous installez Firefox, demandez l'original
- [lemagit.fr] Qualité logicielle : l'Open Source dit merci aux grands noms de l'industrie
- [Écrans] Un Internet ouvert, libre, neutre,... et légal
- [Programmez] Firefox interdit par l'administration wallonne
- [01net.com] Une entreprise condamnée pour violation de licence libre
- [zdnet.fr] Open Invention Network accuse à son tour Microsoft de menacer Linux
- [solutions-logiciels.com] Open CIO Summit
- [01net.com] D'après Linus, le noyau Linux est « bouffi et énorme »
- [silicon.fr] Sénateurs et députés valident la loi Hadopi2
- [journalducameroun.com] Cameroun: Le logiciel libre fêté à Yaoundé
- [laction.com] Libérer les logiciels
Extrait de l'article du site zdnet.fr par Thierry Noisette en date du 27 septembre 2009 :
« Les chiffres sont peu flatteurs pour le Libre: les femmes compteraient pour 28% des développeurs de logiciels propriétaires, et... 1,5 à 2% dans les logiciels libres [...]
Objectif de la réunion "Women in Free Software", discuter sur les moyens d'améliorer la participation féminine dans les communautés de développeurs et de militants du logiciel libre. »
Lien vers l'article original : http://www.zdnet.fr/blogs/l-esprit-libre/le-logiciel-libre-m(...)
[journaldunet.com] 82% des entreprises font appel à l'Open Source en 2009
Extrait de l'article du site journaldunet.com par Dominique Filippone en date du 26/09/2009 :
« En 2009, alors que 82% des entreprises annoncent avoir fait appel à un moins une application Open Source, ce taux d'adoption monte à 96% en ce qui concerne les administrations. Pour ces dernières, le poids des dépenses consacrées à l'Open Source dans leur budget informatique global atteint d'ailleurs les 14%. »
Lien vers l'article original : http://www.journaldunet.com/solutions/dsi/actualite/82-des-e(...)
[20min.ch] Vaud primé pour son action en faveur des logiciels libres
Extrait de l'article du site 20min.ch par ats en date du 25.09.09 :
« Le canton de Vaud est distingué pour son action en faveur des logiciels libres et open source.
L'association /ch/open a décerné un prix au conseiller d'Etat François Marthaler, grand défenseur de cette politique. »
Lien vers l'article original : http://www.20min.ch/ro/news/vaud/story/Vaud-prime-pour-son-a(...)
[Rue89] Attention quand vous installez Firefox, demandez l'original
Extrait de l'article du site rue89.com par Hugues Serraf en date du 24 septembre 2009 :
« Tristan Nitot, le président de Mozilla Europe, la fondation sans but lucratif qui diffuse le navigateur, déplore :
« C'est comme ça, on n'y peut pas grand chose. Et le Firefox que vous téléchargez sur des sites autres que les nôtres peut tout à fait avoir été transformé pour des raisons que nous ignorons, ce qui est légal. » »
Lien vers l'article original : http://www.rue89.com/tribune-vaticinateur/2009/09/24/attenti(...)
[lemagit.fr] Qualité logicielle : l'Open Source dit merci aux grands noms de l'industrie
Extrait de l'article du site lemagit.fr par Cyrille Chausson en date du 24 septembre 2009 :
« Dans son rapport annuel, la société spécialisée dans le développement Coverity souligne l'amélioration de la qualité du code des logiciels Open Source. L'Open Source, qui connaît une mutation dans son modèle, devient de plus en plus sécurisé grâce notamment à la contribution des acteurs traditionnels, qui s'arment de développeurs dédiés. »
Lien vers l'article original : http://www.lemagit.fr/article/developpement-developpeurs-qua(...)
[Écrans] Un Internet ouvert, libre, neutre,... et légal
Extrait de l'article du site ecrans.fr par Astrid Girardeau en date du mercredi 23 septembre 2009 :
« « Aujourd’hui, on ne peut pas imaginer nos vies sans Internet, pas davantage qu’on ne peut l’imaginer sans eau courante ou sans ampoule électrique. (…) C’est pourquoi le Congrès et le Président ont chargé la FCC de développer un plan national afin d’assurer à chaque américain l’accès à un réseau ouvert et résistant, a déclaré lundi Julius Genachowski, président de la FCC, le régulateur américain des communications. »
Lien vers l'article original : http://www.ecrans.fr/Un-Internet-ouvert-libre-neutre-et,8173(...)
---
Paru dans Libération du 24 septembre 2009
[Programmez] Firefox interdit par l'administration wallonne
Extrait de l'article du site programmez.com par Frédéric Mazué en date du 23 septembre 2009 :
« On croit toujours avoir tout vu, mais c'est une erreur. Pour preuve cette décision pour le moins surprenante de l'administration wallonne: l'interdiction du navigateur Firefox dans ses services. Cette interdiction est justifiée ainsi dans une note d'information: "Une faille de sécurité a été détectée pour l'application de navigation internet Mozilla Firefox. »
Lien vers l'article original : http://www.programmez.com/actualites.php?titre_actu=Firefox-(...)
[01net.com] Une entreprise condamnée pour violation de licence libre
Extrait de l'article du site 01net.com par Arnaud Devillard en date du 23/09/2009 :
« Des licences libres au cœur d'un procès pour violation de droit d'auteur, ce n'est pas si courant. La cour d'appel de Paris a pourtant eu à traiter un dossier de ce genre et a condamné le 16 septembre 2009 une société spécialisée dans les outils multimédias pour la formation. Celle-ci n'avait pas respecté les termes de la licence GNU GPL.
[...] « Edu4 a fait trois erreurs, détaille Loïc Dachary, porte-parole français de la Free Software Foundation, consultée lors du procès en tant que partie sachante. Ils n'ont pas fourni les codes sources modifiés comme le demande la licence GNU/GPL. Ils ont retiré le texte qui normalement informe des droits sur la licence. Enfin, ils ont prétendu que c'étaient eux qui avaient conçu le logiciel. » »
Lien vers l'article original : http://www.01net.com/editorial/506522/une-entreprise-condamn(...)
[zdnet.fr] Open Invention Network accuse à son tour Microsoft de menacer Linux
Extrait de l'article du site zdnet.fr par Christophe Auffray en date du 22 septembre 2009 :
« Juridique - Lors de l’événement LinuxCon, le directeur de l'OIN a accusé Microsoft d’avoir essayé de vendre récemment des brevets à des sociétés connues pour être procédurières et susceptibles d'attaquer Linux.
La Fondation Linux et l'OIN, deux associations de défense de Linux, ne digèrent définitivement pas la récente vente de 22 brevets (liés à Linux) par Microsoft. Après Jim Zemlin, le directeur de la Fondation Linux, c'est au tour de Keith Bergelt de l'Open Invention Network (OIN) d'accuser Microsoft de menacer Linux en recourant comme arme à la propriété intellectuelle. »
Lien vers l'article original : http://www.zdnet.fr/actualites/informatique/0,39040745,39707(...)
[solutions-logiciels.com] Open CIO Summit
Extrait de l'article du site solutions-logiciels.com par Frédéric Mazué en date du 22 septembre 2009 :
« SOA, mobilité, SAAS, Cloud,… les DSI sont aujourd'hui confrontés à une mutation rapide des systèmes d'information. Au coeur de ces révolutions : l'Open Source. Après s'être progressivement imposé via les infrastructures puis le middleware, les Logiciels Libres commencent aujourd'hui à atteindre les applications métiers. Avec un impact majeur : selon Forrester, l'Open Source devient dorénavant "la dorsale cachée de l'industrie du logiciel". »
Lien vers l'article original : http://www.solutions-logiciels.com/actualites.php?titre=Open(...)
[01net.com] D'après Linus, le noyau Linux est « bouffi et énorme »
Extrait de l'article du site 01net.com par Renaud Bonnet en date du 22/09/2009 :
« Connu pour son franc-parler, Linus Torvalds, le créateur du noyau Linux, constate que ce dernier prend de l'embonpoint, et qu'aucune solution miracle ne se présente pour remédier à cet état de fait. »
Lien vers l'article original : http://pro.01net.com/editorial/506405/dapres-linus-le-noyau-(...)
[silicon.fr] Sénateurs et députés valident la loi Hadopi2
Extrait de l'article du site silicon.fr par Christophe Lagane en date du 22-09-2009 :
« Le projet de loi contre le téléchargement illégal, dit hadopi2, est définitivement adoptée par les deux chambres parlementaires. Dernière étape : le Conseil constitutionnel que l'opposition entend saisir.
Après les sénateurs, hier, les députés ont adopté à leur tour aujourd'hui le projet de loi relatif à « protection pénale de la propriété littéraire et artistique sur Internet » dit Hadopi2. Ce vote de l'Assemblée valide le texte commun fixé la semaine dernière par la CMP (commission mixte paritaire). »
Lien vers l'article original : http://www.silicon.fr/fr/news/2009/09/22/senateurs_et_depute(...)
[journalducameroun.com] Cameroun: Le logiciel libre fêté à Yaoundé
Extrait de l'article du site journalducameroun.com par Mohamadou Houmfa en date du 21/09/2009 :
« La journée mondiale du logiciel libre a été célébrée dans une centaine de pays samedi 19 Septembre dernier. À Yaoundé, c’est l’organisation non gouvernementale (ONG), Promotion des Technologies Garantes de l’environnement et de la Qualité de Vie (PROTEGE QV) qui a animé la célébration au British Council. »
Lien vers l'article original : http://www.journalducameroun.com/article.php?aid=2797
[laction.com] Libérer les logiciels
Extrait de l'article du site laction.com par Isabelle Burgun en date du 21 septembre 2009 :
« « L’avenir des logiciels est là », annonce même Louis Martin, chercheur au département d’informatique de l'UQAM et titulaire de la nouvelle Chaire de logiciel libre, finance sociale et solidaire dont le principal objectif est de concevoir une famille de logiciels libres dédiés au secteur financier alternatif, celui de l'épargne et des investissements sociaux et solidaires, plus souvent connu sous l'appellation « économie sociale ».
Pour supporter ce projet, de grands acteurs du milieu de l’économie solidaire — tels le Fonds de développement de la CSN, Fondaction, le Crédit coopératif et l’assureur français MACIF — se sont réunis en une ONG : l’Association internationale de logiciel libre en finance sociale et solidaire. »
Lien vers l'article original : http://www.laction.com/article-378453-Liberer-les-logiciels.(...)
# Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 5.
L'Open Source, qui connaît une mutation dans son modèle, devient de plus en plus sécurisé grâce notamment à la contribution des acteurs traditionnels, qui s'arment de développeurs dédiés.
"
Bizarre, moi j'avais compris que le fait d'avoir des codes libres avait toujours fait qu'ils étaient d'un niveau plus que correct d'un point de vus sécurité. Cette phrase donne carrément l'impression que les acteurs traditionnels souhaitent s'accaparer la qualité du code du point de vue sécurité et pourquoi pas dans un second temps la qualité du code tout court !
Je bosse avec Linux tous les jours depuis plus de 10 ans, idem avec plein de postes Linux autour de moi, je n'ai jamais eu le moindre problème de sécurité sur ces postes ! Je n'ose pas parler des postes Windows que je gère ou j'ai eu plusieurs fois des remontées de Renater !
En faisant des stats piffométriques sur mon environnement professionnel, j'ai eu bien plus de soucis de sécurité avec des codes propriétaires qu'avec des codes libres !
Bref, cela me dérange que l'April relais cela ainsi dans sa revue de presse.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à -4.
Ben tu as mal compris. La realite est que tres tres peu de problemes de securite sont trouves par revue de code, la plupart le sont par fuzzing. Avoir du code ouvert n'amene franchement pas grand-chose de ce cote la.
Et la realite est que les "acteurs traditionnels", ils ont de l'experience dans le domaine de la securite, chose que le codeur moyen/etudiant n'a pas, experience qu'ils ont amene a Linux.
Je bosse avec Linux tous les jours depuis plus de 10 ans, idem avec plein de postes Linux autour de moi, je n'ai jamais eu le moindre problème de sécurité sur ces postes ! Je n'ose pas parler des postes Windows que je gère ou j'ai eu plusieurs fois des remontées de Renater !
Et tu es surpris qu'un OS ayant 95% du marche soit attaque bcp plus frequemment qu'un OS ayant 1% ?
En faisant des stats piffométriques sur mon environnement professionnel, j'ai eu bien plus de soucis de sécurité avec des codes propriétaires qu'avec des codes libres !
Normal, un hacker attaque ce qui est repandu, sinon il n'a pas grand-chose a y gagner (renommee, possibilite de profiter des infos de plus de gens, ...)
Bref, cela me dérange que l'April relais cela ainsi dans sa revue de presse.
Moi je dirais que ce qui te derange, c'est que cette news remette en question un prejuge que tu as.
[^] # Re: Sécurité
Posté par guppy . Évalué à 4.
Et tu es surpris qu'un OS ayant 95% du marche soit attaque bcp plus frequemment qu'un OS ayant 1% ?
[...]
Normal, un hacker attaque ce qui est repandu, sinon il n'a pas grand-chose a y gagner (renommee, possibilite de profiter des infos de plus de gens, ...)
C'est biaisé comme argumentation, Linux étant présent sur la majorité des serveurs (web mais pas que). Il est certainement plus intéressant pour un hacker (plus valorisant etc) de rooter un serveur web que le PC de Mme Michu.
Et la realite est que les "acteurs traditionnels", ils ont de l'experience dans le domaine de la securite, chose que le codeur moyen/etudiant n'a pas, experience qu'ils ont amene a Linux.
Joli troll. Linux est développé par des étudiants (forcément des bons à rien donc) et des codeurs moyens (j'imagine donc que tu penses que les bons codeurs travaillent uniquement chez Microsoft).
Tes posts sont souvent intéressants, mais je déplore la mauvaise foi de celui-ci.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à -5.
Malheureusement c'est totalement faux, c'est Windows qui a la majorite du marche serveur
Joli troll. Linux est développé par des étudiants (forcément des bons à rien donc) et des codeurs moyens (j'imagine donc que tu penses que les bons codeurs travaillent uniquement chez Microsoft).
Non, il etait, une fois que les entrerprises s'y sont mises ca a sacrement change les choses. C'est d'ailleurs tout le but de la discussion ici : l'apport des "professionels de la branche"
[^] # Re: Sécurité
Posté par Médéric RIBREUX (site web personnel) . Évalué à 5.
Visiblement pas au niveau des serveurs web (cf http://news.netcraft.com/archives/2009/09/23/september_2009_(...) )...
A moins qu'en fait, la courbe des stats pour µ$oft soit exprimée dans une autre unité ou à une échelle de mesure différente !
[^] # Re: Sécurité
Posté par Enoch (site web personnel) . Évalué à 1.
Ce comparatif montre clairement qu'Apache est loin devant IIS, il serais intéressant d'avoir le même type de comparatif concernant l'OS des serveurs en question même si, d'après mon analyse pifométrique personnelle, je pense que ça donnerait sensiblement les mêmes résultats ...
[^] # Re: Sécurité
Posté par C. OB (site web personnel) . Évalué à 1.
Ah.... Il va nous falloir les sources de cette affirmation.
Je pense également que l'on a deux vision différente d'un "serveur" :
Pour moi (et pour guppy) ce que je comprend quand je vois "serveur" c'est une machine de mise à disposition du public, sur internet:
Serveur web, ftp, mail, twitter, jabber/irc, .... bref, une machine avec une IP accessible depuis le net.
(c'est grossier comme interprétation, je sais).
Peut-être pour toi un "serveur" est une machine dans une salle blanche, allumée 24/24 et administrée dans une société. Cette machine, bien que serveur d'entreprise, n'est PAS automatiquement accessible depuis tout-un-chacun sur le net: serveur d'applications, ldap, .... et si connexion à internet il y a, ca passe par un front-end (mettre une machine windows sur le net telle quelle, bref... on sais tout ce qu'il en est)
[troll on]
Dans ce cas, oui, effectivement, vu qu'il faut sous Windows quasiment une machine / service, je veux bien croire que Windows a la majorité du marché des serveurs.... :-)
[troll off]
Tiens, j'y avais pas pensé, mais tu cite bien La majorité du *marché* , ce qui montre (selon ma compréhension) que tu n'y inclus pas les innombrable serveurs hébergé chez OVH par exemple, ou les entreprise qui télécharge & installe une ubuntu serveur ou une centos et lancent leur petit serveur apache sans rien demander à personne, et surtout sans payer quoique ce soit @ Redhat ou Novell :-)
[^] # Re: Sécurité
Posté par CrEv (site web personnel) . Évalué à 4.
heu oui, très très grossiers...
Limiter les serveurs aux serveurs publics de messagerie / fichiers sur le net, c'est vraiment limité.
Mais donc pour toi si j'ai un serveur frontal (linux) avec derrière 4 ou 5 serveurs (j'sais pas, deux serveurs de bdd en redondance, un serveur web, un serveur d'application) dont certains ne tournent pas sous linux, combien j'ai de serveurs ?
- 1 selon ta définition
- 5 ou 6 selon la définition de "serveur"
Y'a pas comme un problème ?
[^] # Re: Sécurité
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
Personnellement je représente > 20 serveurs totalement anonymes et comptabilisés par personne (de petits serveurs installés pour faire du samba dans des boîtes de 5-10 personnes, pour lequel j'ai eu droit à une bouteille de rouge, des petits serveurs installés chez des amis avec un samba, 3 petits serveurs à moi, ...). Et sur ceux-ci j'en ai maximum 4 qui sortent sur le Net ...
Donc Microsoft détient 95% du marché des serveurs payants ? 95% du marché des serveurs visités par Microsoft ? par Apple ? par Richard Stallman ?
D'où vienne donc ces chiffres ?
(des machines de travail sous Windows avec coLinux faisant tourner openMosix derrière un serveur Web, ça compte comme serveur Windows ou serveur Linux ?)
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Sécurité
Posté par CrEv (site web personnel) . Évalué à 2.
heu, naïvement je dirais non !
C'est une machine de travail ou un serveur ?
Sur la partie "j'installe des serveurs sous linux partout" on peut aussi supposer qu'il existe exactement la même chose avec des serveurs windows ... voir plus vu que windows est bêtement plus connu, que plus de monde utilise windows.
Maintenant, comment compter ? j'en sais rien, il faudrait que pBpG nous indique la provenance des chiffres, mais sans celà on ne peut rien en dire, ni dans un sens, ni dans l'autre car :
> tous les Linux anonymes, qui sait combien il y en a ?
tous les windows anonymes (j'entend par là en serveur) combien il y en a ?
Maintenant, j'aurais aussi tendance à croire que beaucoup de boites, lorsqu'elles ont des serveurs, utilisent pour bcp de distrib serveurs, que ce soit windows ou linux (ou autre) et souvent avec du support. Les chiffres, pas forcément complets, peuvent tout de même apporter une bonne tendance.
Dans mon taff à l'inverse, je trouve assez souvent du win serveur (en majorité) suivit par du redhat/centos et du ubuntu server de temps en temps, mais assez rare.
[^] # Re: Sécurité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
[^] # Re: Sécurité
Posté par Etienne Bagnoud (site web personnel) . Évalué à 3.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Sécurité
Posté par CrEv (site web personnel) . Évalué à 2.
Après ce qui serait intéressant, par rapport à Linux, serait d'avoir des stats indiquant la proportion de serveurs (os) achetés / installés.
Ca permetterait d'améliorer les stats (sans remettre en cause celles de pBpG puisque se basent sur le marché) mais ça m'étonnerais que ça remonte énormément non plus (enfin pas de quoi dépasser windows)
C'est sur que sur le web, linux est bien placé. Mais il y a beaucoup d'autres applications ne fonctionnant que sous windows pour que ça puisse s'inverser facilement, c'est pas simplement une histoire d'os.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 0.
Linux 13.4% , Windows 36.5%
Meme en imaginant que Linux soit sous-represente de 50% a cause des serveurs installes a la main, Windows est encore devant.
Sur le desktop c'est tellement evident que ca ne merite meme pas une discussion.
[^] # Re: Sécurité
Posté par lezardbreton . Évalué à 8.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 0.
Microsoft picked up 2 percentage points, bringing its market share to 67.1% of servers shipped during the second quarter, according to data from Gartner. Of 2.06 million servers shipped overall, nearly 1.4 million came preloaded with proprietary OS. That works out to an extra 77,650 Microsoft-based servers sold during the quarter, year over year.
Linux accounted for 22.8% of server shipments, down from 23.1% the year before.
3x plus de serveurs sont livres avec Windows qu'avec Linux...
[^] # Re: Sécurité
Posté par lezardbreton . Évalué à 4.
Ca ne veut pas dire qu'il soit faux, bien sûr, mais j'ai personnellement du mal à l'avaler.
Je regarde dans ma boite : les serveurs Windows sont utilisés uniquement pour la messagerie, Active Directory, Sharepoint et les serveurs de fichiers. C'est très très limité et je pense que c'est le cas chez la plupart des concurrents. Pourtant en termes d'équipements serveurs, mon entreprise doit représenter une part conséquente de l'équipement français : je travaille par exemple sur un projet qui implique un développement de plusieurs grappes hardware représentant un peu plus de 8 000 CPUs supplémentaires, tous sous Linux.
En gros, on arrive à la situation où les serveurs Windows s'occupent de la bureautique et fonctions annexes, toutes les applications métiers sont sous Unix/Linux.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Tu penses ? T'as remarque que la plupart des applications metiers(compta, etc...) existent sous Windows et pas sous Linux ? C'est pas par hasard...
Sinon, 8000 CPUs c'est gros mais pas si enorme, quand je regardes notre boite, on a dans les 300'000 machines, et c'est sans compter les datacenters de Bing/Hotmail/...
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 4.
On sais tous que le calcul intensif est archi dominé par Linux, c'était pas la peine de répondre et surtout de partir sur un autre thème.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Bref, les rares études que j'ai lu n'avait pas un protocole clair ou alors, le protocole de calcul montrait clairement des lacunes...
Avec la quantité de gadget qui risque de débouler dans les années qui viennent, soit Microsoft arrive à replacer son WindowsCE, soit ses pars de marché ne vont faire que diminuer, c'est mathématiques.
Si je prends l'exemple de la petite PME pas loin de chez moi qui travaille dans l'impression, je trouve 8 serveurs Windows (RIP d'impression compris) et 6 serveurs Linux. Pour un service ou 100% des personnes ne travaillent que sous Windows, c'est pas mal ! Dans mon boulot à moi, il n'y a que des Linux mais nous ne sommes pas représentatif (mais n'avoir aucun serveur Windows, c'est possible !).
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 2.
Ben non, car ce n'est pas le meme marche, ca c'est pour les OS embarques (ou Linux ecrase WinCE de ce que j'en sais)
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
Idem, sur les "box". J'ai un routeur sous Linux et une box est un routeur sous Linux avec une patte qui fait du pppoe. Bref, c'est pareil.
J'ai mon propre serveur de mail avec ma propre infrastructure antispam, mais j'aurais pu acheter une boite noire qui fait tout cela. Cette boite, c'est un serveur comme un autre ou c'est de l'embarqué et cela ne compte pas...
Bref, c'est bien ce que je disais, chacun met le protocole de mesure qu'il souhaite et qui l'arrange pour afficher des résultats sous un meilleur jour. Je comprends très bien que Microsoft ne souhaite pas avoir les serveurs embarqués sous Linux dans les chiffres car cela le placerait bien moins bien et Linux serait beaucoup trop bien placé pour les décideurs.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Sinon, desole mais c'est pas le meme marche du tout meme si techniquement ca a des ressemblances, les possibilites entre une appliance et un serveur ne sont pas du tout les memes, tu n'as que tres tres peu de controle sur l'appliance, pas de support de l'OS similaire, etc...
C'est pas par hasard que les routeurs ne sont pas dedans non plus, parce que bon, un routeur tu peux aussi faire ca avec un PC hein, tu peux meme diriger une machine a cafe avec un PC si tu veux.
[^] # Re: Sécurité
Posté par teoB . Évalué à 2.
http://www.top500.org/stats/list/33/osfam
[^] # Re: Sécurité
Posté par BAud (site web personnel) . Évalué à 4.
http://news.netcraft.com/archives/2009/09/23/september_2009_(...)
la chute^Wcrise^Wdévissage d'IIS se stabilise face à apache, qui reste toujours au-dessus de 50% et en augmentation sur Internet malgré la concurrence (qui accepterait la perte d'image liée à l'utilisation naïve d'utiliser IIS, encore taxé d'amateurisme malgré ses améliorations ?). Mieux vaut utiliser des technologies éprouvées du libre ;-) le libre étant pour beaucoup aux base d'Internet d'ailleurs...
Je ne réponds pas sur le volet OS, préférant ce qui n'est pas defective by design et le plus souvent attaqué en milieu hostile selon certains.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Sécurité
Posté par reno . Évalué à 5.
Les parts de marche ne sont pas tout IIS a une plus mauvaise reputation qu'Apache par exemple..
Pour moi la raison principale pour laquelle Windows est mauvais au niveau securite, c'est que traditionellement tout le monde est super-utilisateur, ce que Vista corrigeait enfin, mais visiblement Microsoft aime bien les vendeurs de securite car ils ont baisse la securite dans Windows7 par rapport a Vista:
http://www.osnews.com/story/21708/Source_Code_to_UAC_Injection_Flaw_Released
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 0.
Va compter le nombre de failles d'IIS et Apache ces dernieres annees, tu vas etre sacrement surpris du resultat.
mais visiblement Microsoft aime bien les vendeurs de securite car ils ont baisse la securite dans Windows7 par rapport a Vista:
Pour les admins, pas pour les users standard. (On notera d'ailleurs qu'UAC n'a jamais vraiment ete considere comme une feature de securite, mais c'est une autre histoire)
[^] # Re: Sécurité
Posté par reno . Évalué à 5.
>
>Pour les admins, pas pour les users standard.
Comme sous Windows la majorite des utilisateurs (hors entrerprise) tournent en admin, bof..
[ Exemple, ma petite amie a un portable sous Vista et elle n'a qu'a cliqu'e sans mot de passe pour faire disparaitre les fenetres UAC ce qui montre je pense qu'elle est Admin. ]
Quand a UAC ne pas etre une feature de securite, cela me fait rire: c'est juste pour embeter les utilisateurs alors?
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Quand a UAC ne pas etre une feature de securite, cela me fait rire: c'est juste pour embeter les utilisateurs alors?
Non, c'est pour forcer les developpeurs a faire les choses correctement, a force que les utilisateurs se plaignent que leurs softs font des pop-ups regulierement, les editeurs vont devoir corriger leur bordel.
[^] # Re: Sécurité
Posté par reno . Évalué à 3.
Elle n'y connait rien en informatique, donc elle a pris le reglage par defaut et elle se retrouve admin et c'est de sa faute???
Ben voyons..
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 2.
On new installations, by default, the first user account created is a local administrator account in Admin Approval Mode (UAC enabled). All subsequent accounts are then created as standard users.
Tu m'expliques ce qu'il y a de problematique dans la config par defaut ?
Tout comme sous Linux il faut un admin, le 1er compte cree, ensuite par defaut tous les autres sont des users standard, tout ce qu'il y a de plus normal.
[^] # Re: Sécurité
Posté par reno . Évalué à 2.
1] beaucoup de PC n'ayant un seul utilisateur, qui utilise un seul compte, ils seront donc admin en permanence (comme ma copine).
C'est comme si sous Linux, on utilisait le compte root en permanence: une très mauvaise idée du point de vue sécurité..
2) J'ai envoyé un lien indiquant qu'en changeant le niveau par défaut pour l'UAC, Microsoft baissait la sécurité de Windows7 par rapport à Vista, tu m'as dit que cela ne concernait que le compte admin.
Sauf que beaucoup d'ordinateurs tournent en mono-compte et sont donc admin en permanence.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Sous Linux aujourd'hui, on arrive a avoir un OS ou le compte root n'a pas de mot de passe et cela marche. C'est assez formidable.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
https://help.ubuntu.com/community/RootSudo
Isn't sudo less secure than su?
The basic security model is the same, and therefore these two systems share their primary weaknesses. Any user who uses su or sudo must be considered to be a privileged user. If that user's account is compromised by an attacker, the attacker can also gain root privileges the next time the user does so. The user account is the weak link in this chain, and so must be protected with the same care as root.
Le compte admin sous Windows d'un point de vue securite est equivalent a un user avec sudo sous Linux.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
> sudo sous Linux.
N'importe quoi !
Seule les commandes sudo sont root pas toute ! Dans ton navigateur ou ton lecteur de mail, tu n'est pas root... Bref, tu n'est presque jamais root. Il faudrait être fou pour lancer acroread en root par exemple.
Et puis, sudo te demande normalement ton mot de passe sauf si tu le configures autrement mais là, c'est soit pour une commande spécifique, soit tu fais n'importe quoi.
Bref, faut pas répandre des choses aussi fausses, c'est pas sympa.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Mais mon cher, c'est parce que tu n'as aucune experience en securite que tu crois que c'est different.
Un malware entre sur le compte utilisateur sous Linux.
Ce malware :
- change le $PATH et mets son sudo a lui qui prend ton mot de passe au debut de la liste
- se relance au login de l'user pour survivre reboots et shutdowns
- executes le sudo original pour ta commande lorsque tu lances un sudo histoire que tu ne remarques rien
Hop, il a le mot de passe, il peut lancer le sudo qu'il veut, et il y a largement assez de softs sudo-enabled pour prendre le controler du systeme.
Un compte utilisateur qui a des privileges sudo, au final c'est pas different d'un compte admin, tu finiras bien a un moment par faire ton sudo, et a ce moment tu l'auras profond.
Le seul effet de sudo par rapport a un compte admin c'est de retarder l'infection un peu.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
C'est déjà pas mal...
Le scénario que tu montres est possible mais je ne l'ai jamais vu depuis que je bosse sur Linux et cela fait plus de 10 ans...
Il y a donc plus qu'une nuance entre un clic sur une page web et t'es mort et une attaque en plusieurs étapes qui nécessite d'aller changer le fichier bashrc...
Cela dis, mes utilisateurs ne sont pas sudo, ni moi. Je fais un su pour passer sur un autre compte qui est lui sudo ! Mais ton attaque marche aussi avec su... Bref, ton attaque est générique et marche sur tout OS tant que l'OS ne fait pas un contrôle "NOM de l'exécutable / checksum" et n'interdit pas les doublons dans les noms des binaires.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Que tu l'aies vu ou pas, on s'en fiche un peu, techniquement c'est clair et net.
Il y a donc plus qu'une nuance entre un clic sur une page web et t'es mort et une attaque en plusieurs étapes qui nécessite d'aller changer le fichier bashrc...
Vraiment ? C'est quoi la difference entre editer le fichier .bashrc et s'ajouter dans les entrees de la base de registre ? Aucune, si tu regardes les malware sous Windows ils sont presque tous du type suivant : shellcode execute dans une appli vulnerable (Firefox, IE, ...) qui downloade depuis le web un soft et l'execute.
Serieusement, c'est quoi la complexite d'ecrire un soft qui edite .bashrc, change $PATH, ... ? Aucune, un newbie peut le faire. Tout le boulot est dans le shellcode.
Cela dis, mes utilisateurs ne sont pas sudo, ni moi. Je fais un su pour passer sur un autre compte qui est lui sudo ! Mais ton attaque marche aussi avec su... Bref, ton attaque est générique et marche sur tout OS tant que l'OS ne fait pas un contrôle "NOM de l'exécutable / checksum" et n'interdit pas les doublons dans les noms des binaires.
Tout a fait, j'ai jamais dit que c'etait limite a Linux, mais elle montre bien a quel point sudo n'amene aucune securite.
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
Avec sudo, tu n'est sous root que lorsque tu le demandes. Un bogue dans oowriter n'est pas aussi dangereux car tu ne le lances pas en root... Bref, le risque de faire des conneries sur le système est bien moindre.
Ton argument est : puisque avec sudo je peux être root alors autant se loguer sous root et tout faire sur ce compte ! Heureusement que personne ne t'écoute ;-)
> Que tu l'aies vu ou pas, on s'en fiche un peu, techniquement c'est clair et net.
Que tu t'en fiches, je le comprends bien mais moi pas. Techniquement c'est faisable mais cela n'a pas encore été fait et surtout, cela ne toucherait en général qu'une personne et il s'agit de modifier des fichiers de scripts lisibles par l'homme. C'est une des raisons pour laquelle je n'aime pas gconf, car ce bazar met une tétrachiée de fichier incompréhensible à relire pour un pingouin moyen.
J'aime bien mieux lire un bashrc que de rechercher une put*** de clef dans cette base de registre non documentée !
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Avec sudo, tu n'est sous root que lorsque tu le demandes. Un bogue dans oowriter n'est pas aussi dangereux car tu ne le lances pas en root... Bref, le risque de faire des conneries sur le système est bien moindre.
a) Mais pourquoi compares tu un compte admin sous Windows a un compte non-admin sous Linux ? UAC est l'equivalent de sudo dans les comptes non-admin Windows, ca ne manque pas
b) Je t'ai montre par A+B que si le compte peut utiliser sudo, alors au final ca revient au meme. On s'en fout que oowriter ne tourne pas en root, si il permet d'inserer le malware sur le compte utilisateur les carottes sont cuites, au prochain sudo le malware passera root.
Que tu t'en fiches, je le comprends bien mais moi pas. Techniquement c'est faisable mais cela n'a pas encore été fait et surtout, cela ne toucherait en général qu'une personne et il s'agit de modifier des fichiers de scripts lisibles par l'homme.
Ca n'a pas encore ete fait ? Mais tu reves mon cher, ca se fait depuis longtemps, je l'ai pas inventee cette technique !
Quand a toucher une personne, une fois que le malware a le mot de passe, il passe root et c'est toute la machine qui est verolee.
[^] # Re: Sécurité
Posté par Bruce Le Nain (site web personnel) . Évalué à 3.
- 17 Secunia advisories
- 27 Vulnerabilities
- Unpatched 12% (2 of 17 Secunia advisories
- The most severe unpatched Secunia advisory affecting Apache 2.2.x, with all vendor patches applied, is rated Less critical
IIS : http://secunia.com/advisories/product/1438/
- 8 Secunia advisories
- 8 Vulnerabilities
- Unpatched 25% (2 of 8 Secunia advisories)
- The most severe unpatched Secunia advisory affecting Microsoft Internet Information Services (IIS) 6, with all vendor patches applied, is rated Moderately critical .
Un peu plus de vulnérabilités sur un Apache 2.2 non patché que sur un IIS non patché, mais patché Apache est d'un chouilla plus secure que IIS patché
Donc aborder le terrain de la sécurité sur ces produits n'a pas vraiment d'intérêt, les deux sont très bons.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Sécurité
Posté par Anonyme . Évalué à 1.
C'est peu gratifiant pour apache de souligner qu'il est possible de se retrouver troué plus souvent en étant testé moins souvent. Après tout dépend de la gravité des failles et du temps où l'on reste sans patch correctif.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 2.
C'est peu gratifiant pour apache de souligner qu'il est possible de se retrouver troué plus souvent en étant testé moins souvent. Après tout dépend de la gravité des failles et du temps où l'on reste sans patch correctif.
Oui c'est possible, mais quand on regarde les softs de tout genre, on se rend compte que plus ils gagnent en popularite, plus on trouve de failles dedans(Firefox, Mac OS X, Linux, ...), ca touche trop de softs pour etre du au hasard.
[^] # Re: Sécurité
Posté par Etienne Bagnoud (site web personnel) . Évalué à 5.
Dans un sens oui, mais la pression du marché empêche les "acteurs traditionnels" de mettre à profit cette expérience. Le dernier bug de smb2 me semble une preuve, je penses que Microsoft à les compétences pour ne plus faire ce genre d'erreur, mais il faut sortir le produit en même temps que la campagne prévue par les marketeux.
La vrai différence vient du fait que le code Libre ne subit pas directement la pression du marché et donc il sort quand c'est prêt.
Normal, un hacker attaque ce qui est repandu, sinon il n'a pas grand-chose a y gagner [...]
Je te l'accorde. D'ailleurs un article paru dernièrement clame que Windows Vista/7 est plus sûre que MacOS X, mais ce dernier subit moins d'attaque, ce qui le rend virtuellement plus sûre[1].
Mais une grande différence entre le logiciel propriétaire et le Libre, c'est la possibilité de trouver des "workarounds" plus facilement. Que ce soit au niveau de la sécurité ou des fonctionnalités. C'est ce qui rend les codes Libres plus sûres : un bug de sécurité non-corrigé dans bind, on peut changer pour powerdns, djbdns, ... Il y a toujours un autre outil disponible pour contourner le problème en attendant la solution et c'est un gage de sécurité.
De plus la diversité un est avantage non-négligeable. Celui qui a une solution complète avec sur un Linux, peut avoir en backup la même solution sur Windows et sur *BSD. Donc on peut toujours avoir une solution de secours basée sur un système d'exploitation différent avec une suite logiciel différente mais similaire en terme de fonctionnalité.
[1] http://news.techworld.com/security/3201863/snow-leopard-less(...)
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
Tu as remarque qu'a peu pres tous les produits qu'on sort sortent en retard dont notamment qqe annees pour Vista ?
Les failles ca arrive, chez nous, chez Linux, chez MacOS, chez Adobe, chez Google, ...
La vrai différence vient du fait que le code Libre ne subit pas directement la pression du marché et donc il sort quand c'est prêt.
Absolument pas, on trouve plein de failles dans le code libre aussi
Mais une grande différence entre le logiciel propriétaire et le Libre, c'est la possibilité de trouver des "workarounds" plus facilement. Que ce soit au niveau de la sécurité ou des fonctionnalités. C'est ce qui rend les codes Libres plus sûres : un bug de sécurité non-corrigé dans bind, on peut changer pour powerdns, djbdns, ... Il y a toujours un autre outil disponible pour contourner le problème en attendant la solution et c'est un gage de sécurité.
C'est certainement pas realiste du tout, tu connais combien de societes pretes a changer leur serveur DNS en une semaine ? A peu pres aucune.
De plus la diversité un est avantage non-négligeable. Celui qui a une solution complète avec sur un Linux, peut avoir en backup la même solution sur Windows et sur *BSD. Donc on peut toujours avoir une solution de secours basée sur un système d'exploitation différent avec une suite logiciel différente mais similaire en terme de fonctionnalité.
Euh ca tourne dans les deux sens ca hein... si tu peux avoir ton backup sur Windows, tu peux avoir ton primaire sur Windows et ton backup sur Linux...
[^] # Re: Sécurité
Posté par franckd . Évalué à 2.
Une faille qui impacte 60% des machines (ça doit être à peu de chose près la part d' XP) est forcement plus attirante que celle qui n'est exploitable qu' à travers Apache x.x.x, telle version du noyau compilé avec l'option machin sur GCC 4.4 ... Ramené au 1% de part de marché de Linux laisse peu de chance à l'attaquant...
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 2.
Maintenant le probleme, c'est quand tu regardes la "diversite" des machines Linux (serveurs, le desktop est tellement minuscule que meme si c'etait 100% les memes ca serait ininteressant de toute facon) :
L'enorme majorite est des Suse et des Redhat, une minorite est sous Debian/Mandriva/CentOS.
Il y a toujours les qqe geeks dans leurs coins qui ont une slackware, une machine sous Sparc ou je ne sais quoi mais c'est infinitesimal.
Bref, au final ca ne change pas grand-chose, car bien qu'il y ait 23522 distrib differentes, une poignee represente la majorite du parc
[^] # Re: Sécurité
Posté par Raphaël SurcouF (site web personnel) . Évalué à 3.
[^] # Re: Sécurité
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Sécurité
Posté par Pol' uX (site web personnel) . Évalué à 3.
Je cite la dépêche : «La revue de presse de l'April est régulièrement éditée par les membres de l'association. [...] Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.»
Qu'est-ce qui te dérange ? Qu'un groupe d'individus ne mette pas son véto sur ce que devrait être ou non la revue de presse de l'April ? Que l'information des journalistes soit rapportée telle quel sans avoir été «corrigée» ?
Adhérer à l'April, ça vous tente ?
[^] # Re: Sécurité
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
Je trouve très bien de relayer des articles de presse. Cependant, et je suis sur que tu es d'accord, il n'est pas nécessaire ni raisonnable de tout relayer car il y a pas mal de pipeau dans la presse informatique comme partout. On est donc obligé de faire un tri.
Du coup, on n'est pas obligé de ne choisir que des articles qui nous caresse dans le sens du poil, mais on n'est pas obligé non plus de transmettre des articles qui assènent des vérités gratuites sans amener le moindre début de preuve. Ou alors, on s'autorise un encart explicatif, chose que je n'ai pas vu ici.
[^] # Re: Sécurité
Posté par Pol' uX (site web personnel) . Évalué à 1.
Par défaut, à peu près tout est relayé sauf doublon ou cas manifestement HS et/ou polémique. Une raison à cela c'est qu'il n'y a pas trop d'article et donc il n'y a pas vraiment de choix à faire pour garantir la concision. Une autre est de ne pas privilégier une ou l'autre des tendances ou saveurs du monde du logiciel libre (ex. de troll velu : l'open source est il un truc sérieux, ou du librewashing ? :p En conséquence, que fait on de ce type de contenu presse ?)
Une façon simple de ne pas être en situation de trafiquer l'information, est de la relayer sans la modifier. En l'état, c'est parfaitement viable (ça évoluera peut être, qui sais ?), ça a le mérite d'être clair et simple, et comme je le rappelle, la synthèse de presse n'est qu'une projection de l'information de la semaine, sans aucun lien avec les positions officielles que peut avoir par ailleurs l'association.
Adhérer à l'April, ça vous tente ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.