IsNotGood a écrit 5009 commentaires

Non.

Mes amis, laissez moi vous présenter Ubuntu 8.04 Hardy Heron !
Ubuntu 8.04 Hardy Heron combine le meilleur du libre, le meilleur du libre et le meilleur du proprio. Le meilleur du libre actuel car Ubuntu 8.04 Hardy Heron a toutes les dernières technologies du libre, le meilleur du libre c-à-d dire sa grande robustesse, et le meilleur du proprio avec Flash(tm) et les drivers proprios en un clique.

PS : je n'ai pas testé Ubuntu 8.04 Hardy Heron.

> L'hégémonie que souhaite Mark Shuttleworth

C'est un "marketeux" remarquable. Pour l'hégémonie on est très loins.

> C'est dangereux.

Ce n'est pas cool, dangereux je ne crois pas.
Je pense qu'il va un peu se casser les dents dans les mois à venir.
Par exemple ça :
http://useopensource.blogspot.com/2008/04/synching-open-sour(...)
Je pense que cette initiative qui consiste, pour caricaturer, à mettre au pas les projets upstream sous la pression d'une "coalition" de distributions ne va pas être apprécié.
Que chaque distribution joue sa carte, ça se comprend. Que les projets upstream soient en bonne intelligence avec les distributions est évidemment bien venu. Mais installer un rapport qui se veut en défaveur de la liberté des projets upstream à choisir leur date de release (ou de ne pas en choisir) est douteux. Ce n'est pas un rapport de force naturel, c'est un rapport de force construit et à sens unique.

C'est un avis perso, wait and see.

Tu votes pour quoi ?

> Vous nous faites des news de folies

Mouaif.

De la news :
- "La presse informatique généraliste s'empare de l'évènement : ZDnet, 01net, Vnunet, Clubic, PC Inpact et même Génération-NT font preuve d'un certain engouement pour Ubuntu 8.04."

Ils peuvent, ils n'ont pas testé.

Red Hat lance des projets (dont l'infrastructure Fedora) et met le tout en libre sans attendre que tout soit finaliser. C'est aussi ça le libre, partager/discuter/décider aussi lors de la concèption et avec tout ceux qui sont intéressés.
Des exemples d'initiatives toutes fraiches :
http://ovirt.org/
http://freeipa.org/
http://cobbler.et.redhat.com/
http://cft.et.redhat.com/

NB: on n'a pas vu de fork etc...

> http://blogs.msdn.com/virtual_pc_guy/archive/2007/12/31/inst(...)
Notons le "As you can see there were no special options / kernel arguments / hardware configuration involved. All very straight forward.

Ubuntu est une application Windows... Ouille.
Trève de plaisanterie, je trouve l'intiative un peu étrange.
En effet, on est en plein boom de la virtualisation alors pourquoi cette facilité ?
Un exemple concrêt, Fedora 8 sous Windows (présentation par MS :-)) :
http://blogs.msdn.com/virtual_pc_guy/archive/2007/12/31/inst(...)

> énormement d'encensement inutile du libre se faire moinssé.

N'importe quoi. Et je prouve.
Le libre ça roxe, le libre vaincra.
À mort MS !

> En passant, toutes les distributions font comme Red Hat.

Pour exemple, le CVE soumit par Red Hat a fait un bugzilla chez Gentoo (avant la fin de l'embargo) :
http://bugs.gentoo.org/show_bug.cgi?id=213940

En passant, toutes les distributions font comme Red Hat. Idem pour IBM s'il découvert une faille, etc.

Un exemple concret pour que tu arrêtes avec tes conneries :
https://www.redhat.com/security/data/oval/com.redhat.rhsa-20(...)
<advisory from="secalert at redhat.com">
<cve href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0(...)
</cve>
−
<bugzilla href="http://bugzilla.redhat.com/435773" id="435773">

Dès que le bug est découvert par Red Hat, un ticket CVE est fait (d'où le titre bugzilla avec "CVE-2008-0887 ...").
On voit que Red Hat fait le CVE avant qu'il ait un correctif.

https://bugzilla.redhat.com/show_bug.cgi?id=435773
Comment #19 From Mark J. Cox (Security Response Team) on 2008-04-02 04:03 EST [reply]

embargo was agreed as apr02 with vendor-sec; removing embargo.

On a la date de découverte, la date de publication, la date des mises à jours pour Red Hat/Fedora. Red Hat/Fedora ne publie qu'à la fin de l'embargo.

Es-ce que MS a ce type de gestion des failles de sécurité ? C'est-à-dire où tout est public (avec un embargo évidemment le temps de réaliser le correctif).
Es-ce que MS envoyes ses découverte de faille de CVE ?

"Biensûr" que non. La date de découverte des failles de sécurité par MS, on ne la connait pas.

> hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.

Lis le rapport connard, 1 failles sur deux est connue avant sa publication par Red Hat (et donc le projet upstream et donc CVE et donc on a la date de la découverte si le "secrétaire" de CVE ou vendorsec, etc ont fait leur boulot).

> Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...

T'es un connard.
Un truc bloquant, c'est un truc qui empêche une release. Ne pas le mettre en bloquant ne veut pas dire qu'on s'en fout.

> t'interprete comment le fait de ne pas corriger

Tu (et moi aussi) n'en sait foutrement rien si mozilla travaille dessus ou non.
Alors fais un rapport de bug sur mozilla, et revient nous dire si la réponse de Mozilla est "on s'en torche".

T'es un connard, j'en ai plein le cul de ton fud.

PS: oui c'est mal d'insulter les gens.

> Jettes un oeil aux advisories de Redhat

Red Hat fournit ces dates.
Red Hat remonte systématique les failles qu'ils découvrent au projet upstream (aux personnes chargées de la sécurité). Il en est de l'intérêt de Red Hat. Red Hat fait suivre sur vendorsec, CVE, etc. Si Red Hat ne le fait pas, il se fait allumer. Ce qui bien normal. Red Hat est dans une communauté, et si un déconne, il se fait salement remarquer.

http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...)
1 faille sur 2 sont connues par Red Hat avant la publication (via différents moyens, voir ici : http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...) ). Seulement 8 % de ces failles sont découvertes par Red Hat.

http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...) est fait depuis les données brutes qu'on trouve ici :
https://www.redhat.com/security/data/metrics/


Arrêtes avec tes mensonges de merde.

> Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?

T'arrêtes de mentir ?
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.

Donc pour toutes celle où on a des infos, Mozilla y travaille.
Est-ce que pour les deux où on n'a pas d'info, tu as des infos ?
Ben non.
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !

> il est normal que ces 4 et pas plus ne soit pas corrigees.

Non, il n'est pas normal. 2 de ces 4 failles ont est sûr que mozilla y travaille. les 2 autres, on ne sait rien. Mais as-tu des infos pour ces dernières ?
Sur un total de probablement plus de 100 failles (voire plus), Mozilla les a corrigé (ou c'est en vendor patch) ou mozilla y travaille, et il n'y a que 2 failles dont on n'a pas d'info.

> Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.

N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".

Ton truc c'est de pousser des conneries en espérant que les gens n'auront pas la volonté de vérifier. Manque de chance pour toi, je suis allé vérifier.

Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.

> Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.

Bullshit.
Où tu as vu cette décision ?

> http://secunia.com/product/12434/?task=advisories

(4 out of 23) are marked as Unpatched

Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Dans les 4 qui restent :
* http://secunia.com/advisories/27907/
Fin 2007, pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).

* http://secunia.com/advisories/25481/
Deux rapports de bug chez mozilla (dont un corrigé), donc mozilla y travaille. Donc Mozilla n'a pas décidé de ne pas les corriger.

* http://secunia.com/advisories/24153/
Pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).

* http://secunia.com/advisories/23046/
Un rapport de bug chez mozilla, le bug est corrigé. On peut voir qu'il y a eu une grosse activité pour corrigé cette faille, il n'a pas été décidé de l'ignorer.


Bref, il y a deux failles dont on ne sait pas s'il y a une activité ou non, ou s'ils sont ignorés ou non.
Je n'ai pas vu Mozilla dire "faille normale, on laisse filer".
Mais merci de nous apprendre que MS se torche le cul de certains faille de sécurité.

> http://secunia.com/product/73/

Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".

Dans le logiciel libre, ces infos ne sont pas masquée.
Elles peuvent être tenu secrètes le temps qu'un corrictif soit réalisé.

Voir par exemple :
http://www.securityfocus.com/archive/1/archive/1/484818/100/(...)
======================================================================
6) Time Table

22/11/2007 - Vendor notified.
22/11/2007 - vendor-sec notified.
23/11/2007 - Vendor response.
10/12/2007 - Public disclosure.

======================================================================
7) Credits

Discovered by Alin Rad Pop, Secunia Research.

Pour le logiciel libre, l'audit est fait par tout le monde. Donc s'il y a triche sur les dates, ça va se savoir. Par exemple Alin Rad Pop de ce rapport pourrait gueuler.

Par contre, c'est sûr que MS bidonne ses dates de découverte des failles.

Red Hat a fait un rapport intéressant sur RHEL 4 :
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...)
L'accent est mis sur les jours de risques. Pour Firefox, c'est 2,2 jours en moyenne pour les vulnérabilités critiques et importantes.

> Si c'est tout a fait normal

Non, ce n'est pas normal, c'est explicable.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.

Si tu arrives en retard à un rendez-vous, tu vas trouver ça normal car personne arrive à l'heure à tous ses rendez-vous ?
Désolé, mais pas moi.

> juger une vuln. et decide si et quand elle doit etre corrigee.

Juger une vulnérabilité, la corriger (et de suite s'il y a pas de vulnérabilité plus grave), et decide si et quand elle doitpeut être diffusée.
Elle doit être corrigée.

Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.

On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.

> marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.

Non, ce n'est pas normal.
Mais c'est mieux que IE 7 :-)
Pour Firefox : 17 %
IE 7 : 33 %

L'évaluation est super complexe.
Les sites GNU/Linux sont souvent des petits sites pas toujours très bien maintenu. Il y a évidemment des sites plus "professionnels", mais la proportion de ses derniers pour Linux doit être plus faible que pour Windows.

> les gens ne font pas forcement plus d'erreurs quand ils font du PHP avec Apache que de l'ASP avec IIS ou vice-versa.

Donc j'en conclus qu'Apache est plus utilisé.

Ok, je vois l'idée.

> je vois pas trop a quoi tu veux en venir.

À ça :
Shuttleworth advocated the idea of the major Linux distributions synchronising their release schedules, which would enable easier collaboration between the various distributions. Ubuntu is willing to alter their own release schedule to make such a synchronisation a reality.

Je n'y crois pas.

> Tu peux toujours, pour le moment, il dit juste "un jour on distribuera". Ca reste donc a l'état de promesse

Certes. M'enfin, il faut lire le thread. Au début Mark parle de Gobuntu. Puis au fil de la discussion vient le "problème" launchpad. Ça ne semble pas un coup marketing mais véritablement une prise de conscience du "problème".
Mais t'as raison, et le titre du journal est juste : "Launchpad, enfin Libre ?"