Hop, le lien : https://grsecurity.net/passing_the_baton.php
Donc, si j'ai bien compris, grsecurity arrête de fournir en accès libre son ensemble de patchs pour le noyau Linux. C'est un peu décevant, parce que je m'en sers depuis à peine un an sur ma Debian, et je trouve que c'est un plus en sécurité relativement facile à mettre en œuvre. Je vais devoir, dans un futur proche, revenir à un noyau normal, parce que grsecurity ne vend rien aux particuliers. Et ce serait probablement trop cher pour moi. Bref.
Je ne sais pas si la communauté va reprendre ces patchs. Je pense que ce serait un plus, mais ça demande, comme d'habitude, énormément de temps, et dans leur cas, beaucoup de compétences.
Et comme l'a dit un ami (qui se reconnaîtra) : « Open Source Security Inc. ne fait plus d'open source donc ». Je vous laisse troller sur cette phrase :)
# Libre, pas libre, c'est douteux
Posté par Renault (site web personnel) . Évalué à 3.
J'ai vu l'annonce, et je trouve que leur présentation des faits est sujets à caution niveau respect des licences.
Rappel, grsecurity est un patch du noyau direct, ce n'est pas un module externe, le correctif diffusé est donc sous licence GPL+2.
Rien ne leur interdit de réserver cette diffusion qu'à leur client, mais rien n'interdit aux clients de diffuser cela derrière.
Mais, je trouve que leur FAQ à ce sujet
peut faire douter de la volonté de respecter la licence :
Les formulations choisies semblent faire croire que les nouveaux correctifs ne seront plus sous GPL2 et donc inaccessibles à la communauté ce qui est faux. Rien n'empêchant légalement qu'un client le fasse.
Après peut être qu'ils menacent de suspendre le contrat en cas de diffusion ?
Bref, je trouve cela étrange, mais étant donné le développeur principal de ce correctif de qualité, on n'est plus à une bizarrerie près.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Ambroise . Évalué à 10.
Perso, je comprends la phrase comme : "vous avez le droit de redistribuer le patch mais pas sous le nom grsecurity".
Et comme un logiciel peut être libre sans que son nom ne le soit (comme Firefox), cela ne me choque pas.
[^] # Re: Libre, pas libre, c'est douteux
Posté par gUI (Mastodon) . Évalué à 5.
C'est aussi le cas de Linux je crois non ?
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Glandos . Évalué à -1.
Moi aussi, je le comprends comme ça. Mais c'est vrai que c'est douteux. Distribuer des modifications du noyau Linux qu'à un cercle restreint, ça semble un peu limite de base.
Cependant, je vais me contenter de respecter le fait que c'est leur travail, et qu'ils ne veulent plus le diffuser.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Marotte ⛧ . Évalué à 5.
Pourtant la GPL stipule bien que l’on doit distribuer le code source aux personnes auxquelles on distribue le logiciel, pas que l’on doit le laisser à la disposition de tout un chacun, en permanence.
Ce serait assez irréaliste, d’exiger d’un éditeur de logiciel libre, quel qu’il soit, de maintenir un serveur sur internet pour y laisser à disposition le code source.
Donc ce n’est pas « douteux » du tout. C’est une liberté laissée par la GPL de ne donner le code source qu’à ses utilisateurs (ou ses clients).
Ensuite, rien n’empêche un des clients de republier à son tour le code, en tous cas, dans la licence elle même. Par contre, j’imagine que des sociétés peuvent passer des contrats avec des clauses de non-divulgation ou ce genre de chose.
[^] # Re: Libre, pas libre, c'est douteux
Posté par modr123 . Évalué à 2. Dernière modification le 27 avril 2017 à 19:19.
la distribution du code source ne se fait que si la personne le demande
[^] # Re: Libre, pas libre, c'est douteux
Posté par ymorin . Évalué à 3.
Non, car les licences GPL (classique, Lesser et Affero, v2 et v3) interdisent
d'ajouter des restrictions supplémentaires à la diffusion. Et un accord de
non-divulgation est une restriction supplémentaire.
Hop,
Moi.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Renault (site web personnel) . Évalué à 1.
Je ne suis pas bilingue en anglais, mais tout ce que je cite fait référence aux anciens correctifs, ceux actuellement publiés, pas aux nouveaux qui ne seront diffusés que de manière restreinte.
Sur la même page ils font référence qu'en gros pour ceux qui veulent grsecurity gratuitement peuvent se brosser car il n'y a pas d'équivalent, la seule alternative est de maintenir le code actuellement disponible, de le porter et de l'améliorer.
Bref, je ne trouve pas que cela soit comparable à une histoire de marque comme Firefox ou le noyau. Ils mettent sous le tapis la possibilité que leur patch soit de nouveau distribué par un client. Ce qui est étrange.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Sufflope (site web personnel) . Évalué à 3. Dernière modification le 26 avril 2017 à 21:44.
Du coup je ne comprends pas comment un texte sensé cibler l'ancien code te donne des infos sur le futur.
Ce que tu as cité, comme aux précédents commentateurs, me parait du classique "c'est libre par contre touche à mon trademark et tu mangeras tes dents".
Et si ils essaient de propriétariser de futurs patchs de Linux (donc totalement lié à du code GPL donc GPL) c'est eux qui vont manger leurs dents (en supposant qu'un client légal décide de publier ce qu'il a acheté ; moment Zenitram, le libre n'implique pas la publication à tous vents). Mais je ne vois pas où tu vois ça dans ce que tu as cité.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Renault (site web personnel) . Évalué à 1.
Ce n'est pas la première qu'une entreprise ne respecterait pas la GPL, consciemment ou non.
Je suis d'accord. Là n'est pas le problème et la question.
Leur FAQ (lis la page en entier, pas forcément ce que j'ai cité) sous-entend clairement que la communauté n'aura pour toujours que les correctifs déjà publiés et que si cela les intéresse ils n'ont qu'à le maintenir eux même ou payer.
À aucun moment il ne semble sous-entendre que le travail qu'ils poursuivent puisse être distribuer par un client (alors qu'il en aurait le droit). Soit ils vont interdire cela par contrat (si tu diffuses, le contrat est rompu et tu n'auras plus accès au code et au support après) ou alors ils vont mentir aux clients en faisant croire que le nouveau code n'est plus libre et que c'est interdit alors que c'est faux.
Après très clairement, je n'ai pas accès aux détails de cette histoire, je trouve juste leur manière de présenter les choses comme louche.
[^] # Re: Libre, pas libre, c'est douteux
Posté par gouttegd . Évalué à 10.
D’après la discussion sur LWN (voir notamment ce commentaire de Jonathan Corbet), ce serait exactement ça :
[^] # Re: Libre, pas libre, c'est douteux
Posté par Albert_ . Évalué à 3.
Je ne sais pas aux States mais il me semble bien que la loi francaise ne permettrait pas un refus de vente.
De plus comme c'est pour empecher la licence du logiciel (ils ont pas ete pris en traitre sur le sujet) je soupconne que un client (RedHat par exemple) pourrait les attaquer en justice pour violation de licence ou clause abusive.
Je ne suis vraiment pas sur que cela tiendrait donc en justice.
[^] # Re: Libre, pas libre, c'est douteux
Posté par arnaudus . Évalué à 3.
Elle permet de mettre un terme à un contrat de manière unilatérale en cas de violation d'une des clauses du contrat, ce qui revient au même.
Oui, mais c'est dissuasif, aléatoire, et coûteux. Il ne faut pas sous-estimer la compétence d'une équipe de juristes bien payés et motivés pour trouver des combines pour contourner l'esprit d'une loi ou d'un contrat…
[^] # Re: Libre, pas libre, c'est douteux
Posté par Sufflope (site web personnel) . Évalué à 4.
A condition que la dite clause ne soit pas léonine.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Anonyme . Évalué à 4.
Et si elle est Troosky ou Staoline ?
/me →[]
[^] # Re: Libre, pas libre, c'est douteux
Posté par jyes . Évalué à 0.
Comme tout procès, mais là, la licence du patch (forcément GPLv2) va être difficile à contredire sans donner des armes sérieuses au potentiel plaignant. La situation semble donc quand-même bien louche.
GPLv2 :
[^] # Re: Libre, pas libre, c'est douteux
Posté par arnaudus . Évalué à 10.
Mais ça n'est pas du tout ça la question. Tu as un contrat de licence (la GPL) et à côté, indépendamment, un contrat de service (fourniture des patches contre espèces sonnantes et trébuchantes). Le contrat de service te dit que le fournisseur interrompra le service si tu diffuses les patches sous GPL. Il ne t'interdit pas de le faire, il te dit que si tu le fais, alors ils cessent de bosser avec toi.
Du coup, la seule chose que tu peux essayer de faire, c'est de dénoncer cette clause comme abusive, ce qui ne semble pas franchement évident. Tu trouves tout un tas de clauses de terminaison de service dans les contrats, et ça n'est pas illégal a priori.
[^] # Re: Libre, pas libre, c'est douteux
Posté par jyes . Évalué à 2. Dernière modification le 28 avril 2017 à 11:04.
Bien sûr que si. Un contrat t’autorise explicitement quelque-chose, et un second contrat, lié à l’exploitation du même code, est conditionné au fait que tu ne le fais pas. Sachant que tu passes les deux contrats avec la même société, je reste convaincu que la situation est douteuse et qu’un avocat assez cher payé saurait défendre un contrevenant à l’un de ces contrats explicitement incompatibles. C’était d’ailleurs mon commentaire :
Heureusement que tous les dispositifs de contournement de clauses de contrats ne sont pas envisageables. Je te renvoie à cet autre commentaire.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Renault (site web personnel) . Évalué à 3.
Ne pas oublier après que le droit américain reste très différent du nôtre. Que ce soit sur la propriété intellectuelle, le droit des contrats et la protection des consommateurs.
Se baser sur des raisonnements juridiques franco-françaises ne peut fonctionner pour une juridiction américaine (la licence GPL tout comme l'entreprise de Grsecurity sont américains).
[^] # Re: Libre, pas libre, c'est douteux
Posté par kantien . Évalué à 4. Dernière modification le 28 avril 2017 à 11:52.
D'un autre côté, il y a un point qui me chagrine entre les deux contrats : celui de licence GPL et le contrat de service de fourniture de patchs. Le second semble conditionné à une clause de non divulgation du code, or c'est précisément ce type de clause qui a conduit RMS à créer la GPL et cela selon le droit américain. Les différentes versions de la GPL s'y seraient-elles mal prises pour atteindre leur but premier : éviter les clauses de non-divulgation ?
On peut faire du copyleft-left, pour revenir à du copyright ? Je ne sais si les questions sont orthogonales, mais ça m'a l'air complexe tout ça ! :-P
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: Libre, pas libre, c'est douteux
Posté par jben . Évalué à 7.
Non. Je ne sais pas d'où viens ce mythe, mais même si l'autre partie ne respecte pas un contrat, on ne peux le rompre facilement à cause de cela (sauf si le contrat lui-même le prévoit). Lorsqu'une partie ne respecte pas un contrat synallagmatique, l'autre peut l'y contraindre, y compris en ayant recours à un juge, et peut également dans l'attente que la première partie respecte le contrat reporter l’exécution de ses propres obligations (reporter seulement, pas annuler), c'est ce qu'on nomme l'exception inexécution et il y a des conditions bien précises.
Il est possible de demander la résolution d'un contrat, directement à cause d'une inexécution grave (et il faut vraiement qu'elle soit grave) ou via la justice (mais c'est du droit des contrats, et c'est pas si facile que de dire « vous ne respectez pas le contrat, je le romps », c'est prévu par l'article 1224 du code civil:
Et c'est l'article 1226 qui prévoit le détail:
Bref « mettre un terme à un contrat de manière unilatérale en cas de violation d'une des clauses du contrat » ce n'est pas si simple que cela.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Guillaume Knispel . Évalué à 2.
RedHat est du genre à faire exactement ce genre de chose. Ça serait hypocrite qu'ils les attaquent en justice…
[^] # Re: Libre, pas libre, c'est douteux
Posté par Albert_ . Évalué à 2.
Tu as des exemples pour affirmer cela? Ou c'est juste gratuit comme supposition?
[^] # Re: Libre, pas libre, c'est douteux
Posté par groumly . Évalué à 2.
Un client, non. Mais un des auteurs du kernel, oui (donc red hat pourrait, effectivement).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Albert_ . Évalué à 2. Dernière modification le 28 avril 2017 à 15:06.
Ben si un client le pourrait c'est justement ce que donne comme droit la GPL. Tu achetes un logiciel GPL tu peux demander les sources.
Par contre un developeurs pourraient les attaquer en justice pour violation de licence si ils refusent.
[^] # Re: Libre, pas libre, c'est douteux
Posté par groumly . Évalué à 1.
Non, justement.
S'ils ne vendent pas sous gpl., le client ne peut pas demander les sources vu qu'on lui a pas donner une gpl, et ce même si le produit original est sous gpl. Le client est lie par la licence qu'il a signée, si elle dit pas "vous pouvez avoir les source", il ne peut pas exiger de recevoir les sources, qu'elle que soit la licence originale.
Le seul qui peut gueuler est l'auteur original, qui voit sa licence bafouée par le vendeur, et peut donc exiger que le vendeur redistribue en gpl (ou arrête de redistribuer).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Albert_ . Évalué à 2.
Oui mais la tu parles dans le cas ou ils violent carrement la licence (ce qui peut etre le cas) et en effet il faudrait un dev pour attaquer. Je pensais plus a un refus de satisfaire la GPL en cassant la contrat.
Mais bon je soupconne aussi que le kernel n'en a un peu rien a foutre vu comment les devs de Grsecurity n'ont jamais voulu le jeu. Cela fait des annees que cela dure et cela durera encore. La cela touche qui? Les distributions qui integre le patch gratos. C'est fini ca.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Sufflope (site web personnel) . Évalué à 3. Dernière modification le 01 mai 2017 à 22:55.
Non, grsec étant un produit dérivé de Linux (évidemment il faudra le prouver, mais franchement sans mauvaise foi ça a l'air d'un simple plugin pour toi ? c'est un patch, pas un module) qui est sous GPLv2 exclusive, il ne peut pas être distribué sous une autre licence.
[^] # Re: Libre, pas libre, c'est douteux
Posté par groumly . Évalué à 4.
Ca change pas grand chose au fait que le client ne peut pas traîner l'affaire devant les tribunaux. Seuls les détenteurs des droits d'auteurs peuvent - c'est leur licence qui a été bafouée.
La gpl a été signée entre A (devs kernels) et B (grsec). C ne peut pas porter plainte pour A, seul A peut faire ca, pour la simple et bonne raison que A ne va pas forcément y trouver à redire (un contrat n'est pas une loi, ca donne juste à chaque partie un moyen légal de forcer l'autre partie à suivre les règles du jeu, ou de forcer l'autre partie à arrêter de jouer).
C ne voit aucun contrat bafoue, vu que c n'a jamais été offert ce contrat en premier lieu, donc c n'a rien à redire tant que b respecte ses engagement vis à vis de C.
Y'a 2 contrats signés dans cette affaire, la gpl entre les devs kernel et grsec, et whatever license entre grsec et ses clients.
Si grsec ne distribue pas en gpl (ce qui reste à prouver, hein, tout ce qu'on a c'est une extrapolation de quelqu'un qui comprend visiblement tres mal l'anglais à propos d'une déclaration concernant les patchs passés), le seul qui peut y faire quoi que ce soit, c'est un détenteur du droit d'auteur, soit les auteurs du kernel.
Toi t'as le choix entre accepter la licence de grsec, passer ton chemin, ou alerter les devs kernel. Si t'accepte la licence, tu doit t'y conformer, même si grsec n'était pas censé te refiler cette licence en premier lieu - ca c'est le problème des dev kernel, pas le tien.
Et une fois que les devs kernel ont gueule, ca ne change pas la licence que tu as reçue en gpl. Grsec doit soit se plier à la gpl, soit arrêter de (re)distribuer. Ils peuvent choisir la seconde option, et ca ne te donne pas le droit de redistribuer leur patch (sinon eux peuvent à leur tour te tomber sur le coin de la gueule).
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Sufflope (site web personnel) . Évalué à 2.
C'est peut-être encore un point différent suivant les pays, mais ça ne m'étonnerait pas que tu puisses faire valoir les droits que tu aurais du avoir (donc redistribuer en GPL). Ou alors ils n'avaient dès le départ pas le droit de te fournir le code, donc tu le "rends" mais ils rendent l'argent. Est-ce que grsec prendra le risque de voir l'intégralité de ses contrats et revenus annulés ?
[^] # Re: Libre, pas libre, c'est douteux
Posté par groumly . Évalué à 2.
Absolument pas. Un client grsecurity ne peut absolument rien y faire. Encore une fois, le seul contrat qui est viole est celui entre gresecurity et le kernel. Ce contrat concerne grsec et le kernel, personne d'autre. Un client grsec n'a strictement rien à redire la dedans, c'est pas ses oignons.
Ils vendent du service/support, donc y'a pas d'argent à rendre. Sauf si t'arrives à glisser une clause qui force grsec a te filer du fric s'ils rompent le contrat de leur côté.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Libre, pas libre, c'est douteux
Posté par Sufflope (site web personnel) . Évalué à 4.
Totalement faux, désolé, ils fournissent le code. Soit ils te l'ont fourni légalement, et si tu merdes de ton côté c'est ta faute ; soit ils ne te l'ont pas fourni légalement (car ne respectant pas la GPLv2 inaliénable de ce code) et tout est caduque, y compris le paiement de la dite prestation caduque.
[^] # Re: Libre, pas libre, c'est douteux
Posté par barmic . Évalué à 2.
Mon niveau de compréhension du copyleft est pourri (le concept est de beaucoup trop compliqué pour moi), mais il n'y a pas une astuce qui consiste à ne fournir que le patch et à laisser les utilisateurs l'appliquer ? Comme il me semble que c'est fait pour avoir du ZFS sous linux ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Libre, pas libre, c'est douteux
Posté par Renault (site web personnel) . Évalué à 4.
Non.
Je ne connais pas le correctif pour ajouter ZFS, mais connaissant un peu comment sont implémentés les systèmes de fichiers dans le noyau, cela s'intègre facilement comme un module où tu ajoutes quelques fichiers et que tu fais appels à l'API interne du noyau pour cette activité. Tout comme le module proprio de nVidia pour ses cartes graphiques.
Grsecurity c'est différent car il modifie réellement le noyau et son comportement. Il touche à énormément de fichiers et de lignes de code et ne peut être considéré comme un module relativement indépendant (typiquement tu ne pourrais pas envisager son implémentation en espace utilisateur, contrairement aux deux autres plus haut).
En ce sens, le correctif Grsecurity est un travail dérivé direct du noyau, en ce sens il doit se conformer à la GPLv2 comme l'implique la licence.
[^] # Re: Libre, pas libre, c'est douteux
Posté par barmic . Évalué à 3.
C'est pas vraiment ce qu'on m'expliquait il y a quelques mois : https://linuxfr.org/users/kalenx/journaux/de-l-autarcie-du-projet-gnu-ou-comment-emacs-ne-veut-pas-devenir-emacos#comment-1682723
Sincèrement, je ne cherche plus vraiment à comprendre.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 1.
https://grsecurity.net/passing_the_baton_faq.php
C'est pas moi qui le dit hein… Ok j'aurais peut-être dû attendre Vendredi…
[^] # Re: Ah Linux et la sécurité...
Posté par Glandos . Évalué à 10.
Oui, enfin, là, celui qui le dit, c'est une société commerciale qui vend un produit de sécurité pour Linux. C'est un peu biaisé quand même. Même si c'est probablement vrai.
[^] # Re: Ah Linux et la sécurité...
Posté par claudex . Évalué à 10.
C'est d'ailleurs tout le "problème" de grsecurity pour moi. Ils font un patch externe et ont tout intérêt à ce qu'il ne soit pas intégré au noyau pour continuer à vendre du support dessus. Tout en disant que le noyau, c'est de la merde sans eux.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ah Linux et la sécurité...
Posté par Renault (site web personnel) . Évalué à 8.
D'autant que le contributeur principal s'est vu refuser l'intégration entre son comportement hautain et sa volonté de ne pas suivre la méthode de développement du noyau et donc les objections des mainteneurs.
Le noyau n'est pas exempt de reproche sur ce dossier, mais clairement, présenter ça comme un soucis du noyau seulement sans remise en question de leur part, c'est du foutage de gueule aussi.
[^] # Re: Ah Linux et la sécurité...
Posté par Albert_ . Évalué à 3.
Il semblerait d'apres leur dire qu'ils n'ont jamais fait l'effort de soumetter un patch!
https://lwn.net/Articles/315164/
[^] # Re: Ah Linux et la sécurité...
Posté par ʭ ☯ . Évalué à 3.
Parce que le "XP Trustworthy Computing initiative" est gratuit? (I do not want to spend money)
Mais j'ai bien vu qu'on est Jeudi, alors je souris ;-)
⚓ À g'Auch TOUTE! http://afdgauch.online.fr
[^] # Re: Ah Linux et la sécurité...
Posté par Albert_ . Évalué à -2.
Puis c'est vrai que Microsoft n'a pas eu le moindre probleme de "zero day exploit" depuis des annees…
[^] # Re: Ah Linux et la sécurité...
Posté par xcomcmdr . Évalué à 4.
Non, mais d'un côté y'a eu une prise de conscience dès 2003, de l'autre y'a eu HeartBleed & co.
Don bon.. ;-)
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Ah Linux et la sécurité...
Posté par Kerro . Évalué à 1.
On peut voir les choses de l'autre côté aussi : les devs Linux ont conscience depuis le quasi-départ de l'importance de la sécurité (disons 1994 pour être large).
--> d'un côté y'a eu une prise de conscience dès 1994, de l'autre y'a eu Blaster & Co.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 4.
Et tu te bases sur quoi pour affirmer cela ?
[^] # Re: Ah Linux et la sécurité...
Posté par rewind (Mastodon) . Évalué à 3.
Dès les origines de Unix dans les années 70, les concepts d'utilisateurs (dont root), et de permissions sur les fichiers permettaient de mettre en échec toutes les menaces des années 90 (virus principalement) là où Windows, c'était un peu la fête du slip. Et même aux débuts d'Internet grand public dans les années 2000, il a fallu un petit moment avant que Windows ne soit plus une passoire tandis que ces bons vieux mécanismes d'utilisateurs et de permissions protégeaient encore relativement un utilisateur de Unix/Linux.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à -2. Dernière modification le 27 avril 2017 à 19:41.
Fais moi rire, Windows NT supportait cela depuis sa naissance en 1992.
Non, c'est le fait qu'ils étaient totalement absents du marché grand public surtout. Ils avaient plein de failles à l'époque (comme Windows), y compris pour passer d'utilisateur simple à administrateur. Mais évidemment quand la faille touche 10 machines plutôt que 10'000 cela ne fait pas le même bruit dans la presse…
[^] # Re: Ah Linux et la sécurité...
Posté par kna . Évalué à 2.
Oui, mais peu de monde l'utilisait.
Sur le desktop, au moins jusqu'à XP, l'installeur te faisait créer un compte, administrateur, et c'est marre. Du coup n'importe quel débutant gardait ce compte pour tout faire avec. Et je ne parle même pas des softs qui refusaient de tourner si tu n'étais pas admin. J'ai jamais vu personne utiliser un compte non privilégié sous windows sur un ordinateur personnel.
J'avais aussi l'impression que c'était plus contraignant d'utiliser un compte non privilégié sous windows, pour switcher en admin quand il y avait besoin, comparé aux (gk|kde)?su(do)? sous Linux, mais c'est possible que ce soit moi qui m'y prenais mal sur ce coup (de mémoire, j'avais découvert runas un peu tard)…
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 2.
Tout à fait.
En même temps, à l'époque je n'ai jamais vu personne utiliser … Linux sur un ordinateur personnel (à part les très rares geeks genre moi).
Donc bon, comparer un truc qui était inutilisable par la population en question à Windows c'est plutôt bancal. Tout le problème de la sécurité c'est d'être suffisament discret et transparent pour être utilisable au jour le jour, Linux, sans même parler de sécurité, était totalement inutilisable par la population à l'époque.
[^] # Re: Ah Linux et la sécurité...
Posté par kna . Évalué à 4.
L'UAC est arrivé avec Vista en 2007, sans compter que beaucoup sont restés sous XP.
Il y avait déjà des Ubuntu et des Mandriva utilisables par le commun des mortels (la définition de « utilisable » est certes variable en fonction de l'utilisateur, son usage et son matériel, mais c'est pareil aujourd'hui).
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 1. Dernière modification le 28 avril 2017 à 01:12.
Il n'y avait pas besoin d'UAC pour lancer un soft en admin depuis un compte utilisateur, XP savait le faire aussi.
Pas super user-friendly comparé à UAC ? Oui certainement, mais si on parle d'user-friendly les distribs Linux de l'époque partent sur le talus très vite…
Quand à 'beaucoup sont restés sous XP'… je te dirais qu'il y avait plus de gens sous Vista en 3 mois qu'il n'y en avait sous Linux en 10 ans…
[^] # Re: Ah Linux et la sécurité...
Posté par kna . Évalué à 3.
On est d'accord, hein ? Techniquement, oui, il y avait ce qu'il faut pour utiliser un compte non privilégié. J'ai juste constaté que hors entreprise, quasiment personne ne le faisait.
Je ne pense pas que ce soit le côté user-friendly qui ait été bloquant, simplement ce n'était pas assez mis en avant pour l'utilisateur lambda, alors que n'importe quelle distribution linux te fait créer un compte non admin à l'install. Tu pourras me rétorquer que linux ayant été adopté par des geeks au départ, c'était peut-être plus simple à amener que d'attendre de Mme Michu qu'elle comprenne qu'il faut qu'elle utilise 2 comptes…
[^] # Re: Ah Linux et la sécurité...
Posté par rewind (Mastodon) . Évalué à 5.
On parle de mécanismes de sécurité là. On peut comparer des mécanismes de sécurité sans faire des concours de taille de marché ? Je rappelle qu'au départ, tu demandais sur quoi Kerro se basait pour dire que la sécurité était prise en compte dans Linux depuis le départ. Je t'ai répondu, et ça n'a rien à voir avec la taille d'un marché, c'est juste une affaire de mécanisme de sécurité.
[^] # Re: Ah Linux et la sécurité...
Posté par Albert_ . Évalué à -6. Dernière modification le 28 avril 2017 à 15:12.
La securite de Unix et en particulier Linux c'est tout pourri c'est d'ailleurs pour cela que le net, tous les gros HPC du monde et une enorme majorite des VM sur le cloud sont sous linux.
Qu'est ce que l'on peut rigoler tout de meme!
PS: je me demande pourquoi tous les exploits diffuse par wikileak concerne a peu pres systematiquement windows…
[^] # Re: Ah Linux et la sécurité...
Posté par xcomcmdr . Évalué à 6.
Parce que c'est une cible très intéressante de part ses parts de marché, contrairement à Linux. ;-)
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Ah Linux et la sécurité...
Posté par khivapia . Évalué à 4. Dernière modification le 02 mai 2017 à 10:30.
que le net, tous les gros HPC du monde et une enorme majorite des VM sur le cloud sont sous linux.
Plus encore qu'une question de sécurité (qui n'est toutefois pas négligeable), l'ouverture (donc la mutualisation des développements entre beaucoup d'acteurs), les performances et la versatilité (des systèmes possibles) du noyau Linux, et donc le faible coût correspondant, comptent pour beaucoup dans ces parts de marché.
En général, dans le privé, on met la sécurité au 'juste suffisant' car c'est surtout vu comme un centre de coûts. Les performances sont au contraire très importantes pour l'activité présente et son développement futur.
C'est d'ailleurs bien le sens des remarques de Kerro ci-dessus, et plus généralement de Linus Torvalds qui tranche souvent l'équilibre performances/sécurité en faveur des performances.
[^] # Re: Ah Linux et la sécurité...
Posté par Sufflope (site web personnel) . Évalué à 3.
Ah si seulement c'était vrai. Ou alors on est d'accord et j'ai sous-estimé tes guillemets.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 3.
Ben faut savoir… Tu me parlais de concepts d'admin/user et quand je te rappelle que ceux ci sont dans NT depuis sa naissance tu viens me parler de parts de marché grand public…
[^] # Windows NT et la sécurité...
Posté par Arthur Accroc . Évalué à 4.
J’ai administré des NT 4 à leur époque.
Quand on installait le système, même directement sur une partition NTFS (je précise, parce qu’on pouvait aussi l’installer sur FAT32), tous les fichiers étaient accessibles en lecture et écriture à tous les utilisateurs. Nous avions un script « maison » pour restreindre les permissions.
Cela dit, à l’époque, un certain nombre de logiciels tiers n’étaient pas prêts pour une meilleure sécurité (ils ne fonctionnaient plus s’ils n’avaient pas le droit d’écrire dans leur répertoire voire ailleurs, sans parler de ceux qui ne fonctionnaient que pour l’utilisateur qui les avait installés) et probablement que la plupart des utilisateurs de Windows non plus.
Enfin la sécurité était possible, mais par défaut elle laissait à désirer. Mais au moins le système n’avait pas autant de mouchards que l’actuel… Ça prenait bien moins de temps de sécuriser NT 4 que de se protéger de Microsoft avec Windows 10.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Windows NT et la sécurité...
Posté par pasBill pasGates . Évalué à 1.
On va dire que vous ne saviez pas installer NT4 ? Ce n'était certainement pas le cas lors d'une installation normale.
[^] # Re: Windows NT et la sécurité...
Posté par Arthur Accroc . Évalué à 3.
On démarre le CD d’installation, on crée une partition NTFS (parce qu’évidemment, si on créait une partition FAT32, question droits d’accès…), on la sélectionne pour le système et on lance l’installation (je passe sur la sélection des trucs à installer).
Quoi d’autre ?
D’autres collègues (qui ne travaillaient pas avec nous) avaient le même résultat (peut-être avec exactement la même version du CD d’installation cela dit, une sorte de version site)… À croire que pas grand monde savait installer NT4.
De toute façon, la procédure d’installation permettait aussi bien de créer une partition FAT32 pour le système, donc sa sécurité n’était pas un impératif.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Windows NT et la sécurité...
Posté par pasBill pasGates . Évalué à 3. Dernière modification le 01 mai 2017 à 18:17.
Tout à fait, et quand tu fais cela, tu te retrouves avec un système oû les utilisateurs n'ont pas d'accès en écriture sur \program files, sur \windows, etc…
[^] # Re: Windows NT et la sécurité...
Posté par Arthur Accroc . Évalué à 0.
Cela dit, ça fait longtemps, je me demande si ma mémoire ne me fait pas défaut…
Peut-être certains fichiers du système étaient-ils protégés… je suis sûr cependant qu’il y avait un tas de trucs pas protégés, à commencer par la racine du disque.
À l’utilisation, le NT 4 de base n’échappait pas aux scories avec le passage des utilisateurs, le NT 4 après application du script qui interdisait l’écriture aux utilisateurs sur presque tout (à part le répertoire TEMP) ne bougeait pas.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Windows NT et la sécurité...
Posté par Psychofox (Mastodon) . Évalué à 3.
Le droit d'écriture à la racine n'est pas forcément gênant d'un point de vue sécurité si tu ne peux pas altérer les fichiers et répertoires existants. Il ne me semble pas que windows ait jamais "chargé" automatiquement des exécutables qui se trouvaient à la racine du disque.
Au pire ça peut juste être le bordel si les utilisateurs installent tout et n'importe quoi à la racine.
[^] # Re: Windows NT et la sécurité...
Posté par Frank-N-Furter . Évalué à 4.
Pinaillage, mais le support de la FAT32 est apparu sous Win2k.
Depending on the time of day, the French go either way.
[^] # Re: Ah Linux et la sécurité...
Posté par xcomcmdr . Évalué à 4.
Sauf que Blaster c'était y'a 15 ans, et HeartBleed & Co. c'est encore tout récent en comparaison.
Essaie encore. ;-)
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
[^] # Re: Ah Linux et la sécurité...
Posté par claudex . Évalué à 5.
Quel est le rapport en Heartbleed et Linux ? (et pourtant, il y en a eu des failles dans Linux récemment)
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à -1.
Je pense que cela a trait au fait que faire des comparaisons entre Windows et Linux n'a de sens que lorsque l'on regarde un système complet, pas juste le kernel. Et de ce point de vue la openssl fait partie du système vu son utilisation.
[^] # Re: Ah Linux et la sécurité...
Posté par Sufflope (site web personnel) . Évalué à 7.
Oui d'ailleurs la fameuse citation "ce n'est qu'un projet amateur pas destiné à remplacer de vrais systèmes comme Minix" est incomplète, la fin est "mais j'ai quand même intégré le NX bit, la virtualisation des PID, [insérer tous les mécanismes et méthodos de sécurité de pointe que vous connaissez]".
Tant et si bien qu'il n'y a du coup jamais eu de marché pour un jeu de patchs de hardening pour Lin… euh merde c'est quoi déjà le sujet du journal ?
[^] # Re: Ah Linux et la sécurité...
Posté par Sufflope (site web personnel) . Évalué à 8.
Ah mince les mesures qu'ils ont prises ne sont pas parfaites ? Ça alors. En attendant le fait est que Windows utilise des méthodologies / techniques de programmation / technologies matérielles dont Linux ne tire pas parti, et oui les bugs ça arrive quand même. Ceci dit, si t'as une méthodo pour faire des logiciels parfaits, qu'est-ce que tu fous à écrire des conneries ici au lieu de gagner des milliards ?
[^] # Re: Ah Linux et la sécurité...
Posté par Kerro . Évalué à 3.
Je ne m'y connais pas trop. Lesquelles (pour ce qui améliore la sécurité) ?
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 1.
https://www.blackhat.com/docs/us-16/materials/us-16-Weston-Windows-10-Mitigation-Improvements.pdf
[^] # Re: Ah Linux et la sécurité...
Posté par Guillaume Knispel . Évalué à 3.
MS fait un travail intéressant et livre des contres-mesures innovantes, mais Edge a par exemple 74 CVE RCE publiées en 2016, contre 2 pour Chrome (et même si c'était un point bas, ça fait depuis 2013 qu'ils sont en dessous de 10)
Pour compléter la vision, malheureusement Firefox a des chiffres élevés, et Pwn2Own ne l'a même pas aligné en 2016, car trop facile à attaquer selon eux…
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 2. Dernière modification le 27 avril 2017 à 23:23.
Euuuhhh… https://threatpost.com/google-fixes-12-high-severity-flaws-in-chrome-browser/122223/
Note je dis pas que Chrome est pire que Edge, mais il a des RCE.
[^] # Re: Ah Linux et la sécurité...
Posté par kna . Évalué à 3.
Je ne pense pas que compter les CVE soit pertinent pour mesurer la sécurité d'un soft (tant que les correctifs suivent). D'autant plus quand l'éditeur lache des milliers de dollars pour en avoir.
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 1.
Ce n'est effectivement pas pertinent à lui tout seul. Note que Edge a un bug bounty aussi en passant : https://technet.microsoft.com/en-us/library/mt761990.aspx
[^] # Re: Ah Linux et la sécurité...
Posté par Guillaume Knispel . Évalué à 3.
Les 12 highs ne sont pas des RCE, mais effectivement c'est un peu arbitraire de 1/ compter des CVE 2/ uniquement les RCE.
D'un autre côté même si les autres risques peuvent être important, surtout dans un browser, le risque en cas de RCE est assez extrême - et entre 72 et 2 il y a de la marge.
Si on veut compter autre chose que les RCE (toujours en précisant que c'est pas totalement significatif pour évaluer la sécu, ça donne juste une idée dans un domaine), on peut par exemple trouver :
Edge 95 high+ en 2016 https://www.cvedetails.com/vulnerability-list.php?vendor_id=26&product_id=32367&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=7&cvssscoremax=0&year=2016&month=0&cweid=0&order=1&trc=135&sha=e68935cd110d35fb4002780d5d498d128d115899
vs Chrome 33 high+ en 2016 https://www.cvedetails.com/vulnerability-list.php?vendor_id=1224&product_id=15031&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=7&cvssscoremax=0&year=2016&month=0&cweid=0&order=1&trc=172&sha=448a464ff2459f363534f95111ef4340dfe64ae0
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 1.
Faudra que tu m'expliques comment tu comptes…
https://bugs.chromium.org/p/chromium/issues/detail?id=664411 ( CVE-2016-9651 )
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5209
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5203
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5210
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5211
https://bugs.chromium.org/p/chromium/issues/detail?id=652548 ( CVE-2016-5213 )
qui sont dans la page que j'ai référencée sont tous des RCE.
[^] # Re: Ah Linux et la sécurité...
Posté par Guillaume Knispel . Évalué à 2.
J'avais simplement regardé https://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224 si mes souvenirs sont bons, mais ptet que ce site est pas 100% fiable.
De plus faut noter que même dans ce tableau 2016 était un point bas, et qu'il y a de la variance.
[^] # Re: Ah Linux et la sécurité...
Posté par Kerro . Évalué à -3.
Ton lien n'est que du blabla qui, une fois résumé, indique « les équipes Microsoft travaillent dur pour améliorer la sécurité ». Je ne suis pas plus renseigné.
Je ne vois pas de « technologies » particulières dont Sufflope parle.
Il y a de plus une grosse partie qui ne concerne pas l'OS (sujet dont il est question ici).
[^] # Re: Ah Linux et la sécurité...
Posté par pasBill pasGates . Évalué à 5.
Si tu faisais l'effort de lire au moins…
Tout cela est décrit dans le powerpoint.
Et cela n'inclut pas tout ce qu'ils ont ajouté depuis.
[^] # Re: Ah Linux et la sécurité...
Posté par xcomcmdr . Évalué à 1.
Je respecte ton mépris de la langue anglaise, mais ça expose quand même bien les stratégies et tactiques chez MS. Beaucoup de projets libres (qui a dit OpenSSL ?) feraient bien de s'en inspirer.
Quand on est pas aveuglé par la haine, on a envie d'en apprendre bien plus.
Y'a pas une vidéo associée ?
"Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)
# Conséquences
Posté par karchnu . Évalué à 10.
Je me demande quelles seront les conséquences sur les distributions qui utilisent de base grsecurity, comme Alpine par exemple. Fin de la distribution de grsec, tout simplement ?
Pour une distribution comme Alpine, renoncer à grsec c'est perdre quand même une bonne partie de l'intérêt… OpenBSD est et restera le système le plus sécurisé et stable, tenter de l'imiter avec un noyau Linux semblait déjà bien ambitieux, maintenant impossible.
Bref. On sentait le coup venir de la part de grsecurity, l'équipe est connue pour bouder (à tort ou à raison, peu importe).
[^] # Re: Conséquences
Posté par Antoine . Évalué à 4.
Je doute que ce soit « pour bouder ». Plus probablement, l'équipe de grsecurity veut assurer la viabilité économique du projet en incitant les clients actuels (j'ai cru comprendre que grsecurity est pas mal utilisé chez de gros hébergeurs) à acheter un contrat commercial.
[^] # Re: Conséquences
Posté par Jiel (site web personnel) . Évalué à 3.
Bah je pense que ces distributions vont supporter par défaut SELinux ou AppArmor, si ce n'est pas déjà le cas. De toutes façons certaines petites distributions ont déjà peu d'intérêt pour la sécurité, leur petite communauté ayant du mal à faire sérieusement le travail nécessaire.
[^] # Re: Conséquences
Posté par karchnu . Évalué à 4.
De mémoire grsec et AppArmor ou SELinux n’ont pas du tout les mêmes fonctionnalités. grsec a quand même l’avantage, par exemple, de permettre un apprentissage du comportement de la machine pour éviter qu’un utilisateur (y compris root) de faire des conneries. grsec permet aussi de mettre en place une nouvelle politique d’autorisation sur la machine (RBAC), et plein d’autres trucs à peu près intéressants niveau sécurité.
Donc ça ne change absolument pas le problème.
# La sécurité
Posté par hitmanu . Évalué à -4.
c’est aussi, ne pas faire confiance a un patch dont personnes n’est capable de voir ce que fait le code,
surtout dans le noyau (critique).
Si Linus Torvalds ne la pas intégrer dans son noyau, c’est qu’il y a sûrement un problème.
Je peux aussi me tromper, mais je ne prendrais jamais le risque d’intégrer un patch venu de l’extérieur.
Les entreprises qui leur font confiance prennent de gros risque.
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
[^] # Re: La sécurité
Posté par Parleur . Évalué à 1.
Le Maître Linus (sic) n'a pas eu à rejeter le patch.
https://linuxfr.org/users/glandos/journaux/grsecurity-abandonne-le-gratuit#comment-1699860
Ceci étant, grsecurity est un tout tout petit peu une référence dans le domaine de la sécurité, hein.
[^] # Re: La sécurité
Posté par hitmanu . Évalué à 0.
Je viens de voir les commentaire juste au dessus et c'est pas triste. :)
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
[^] # Re: La sécurité
Posté par Guillaume Knispel . Évalué à 2.
Dans une certaine vision du concept de la sécurité, peut-être, disons qu'ils sont pas nombreux sur ce créneaux…
# Outsecured
Posté par Ignition . Évalué à -4.
Bruce Schneier émettait l'hypothèse que les méthodes employés par la NSA et consors finissaient par rendre Internet moins sûr. De plus, de nombreux pays occidentaux demandaient dernièrement des moyens supplémentaires pour casser les communications cryptées, ou les interdire.
Quelque part, c'est ce qu'est en train de faire Grsecurity. On ne peut pas faire de la sécurité gratuite, puis du jour au lendemain, laisser tout le monde se démerder tout seul, sous-entendu que l'utilisateur lambda n'a plus que comme seule solution d'utiliser ses anciens patchs s'il les a gardés, et de garder une "relative" passoire en guise de noyau, à lui de décider si celui-ci est plus ou moins sécure que le vanilla.
Fondamentalement, une distribution Linux à jour est relativement sécure, on est bien d'accord, et encore plus avec de l'huile de coude supplémentaire. Grsecurity, c'était la cerise sur le gâteau.
J'ai du mal à exclure tout lien. D'ailleurs, ça pourrait se tenir… mais c'est chiant de devoir se retrouver avec un OS dont on sait qu'il est passé plusieurs crans en dessous de ce qu'il était en matière de sécurité.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.