A peine quelques jours après la sortie de Firefox 3.5, une première faille de sécurité a été découverte dans le compilateur JavaScript Just In Time (JIT). Elle est notée comme hautement critique par Secunia [1] et permet l'exécution de code à distance avec accès au système cible.
Le problème se trouve au niveau de la gestion du code JavaScript dans le tag "font".
Contournement temporaire
Heureusement il est possible de se protéger en désactivant temporairement le JIT pour le JavaScript [2].
Pour cela, il suffit de se rendre dans about:config, puis de rechercher l'option javascript.options.jit.content et de la passer à false.
Commentaire
Quand certains rappelaient que la différence en nombre de vulnérabilité entre Firefox et IE était illusoire et que le jour ou Firefox attendrait une part de marche conséquente, on aurait exactement le même type de problème, on leur riait au nez et on les traitaient de crétins, quand ce n'était pas de traître a la cause du LL. J'en connais qui doivent moins rigoler aujourd'hui...
Pas de chance pour Mozilla en tout cas, entre un 0-day et une énorme régression dans NSS (a vouloir réinventer la roue, aussi), c'est pas le bon moment pour partir en vacances.
[1] http://secunia.com/advisories/35798/
[2] http://blog.mozilla.com/security/2009/07/14/critical-javascr(...)
[3] https://bugzilla.mozilla.org/show_bug.cgi?id=503970 (bloque pour le moment)
Journal Vulnérabilité critique dans Firefox 3.5
15
juil.
2009
# ...
Posté par passant·e . Évalué à 10.
l'important ce n'est pas vraiment le nombre de vulnérabilités pour un soft donné : le seul truc que cela indique vraiment, c'est que le soft est utilisé par beaucoup de monde et qu'il devient intéressant d'y trouver des failles pour pouvoir disperser des virus / cheval de troie / phishing / etc.
Ce qui est important c'est la fenêtre d'exposition au bug découvert. Si pour le programme A il faut 45 jours avant qu'un correctif soit disponible alors que pour le programme B il faut une semaine, il vaut mieux utiliser le B.
C'est une question de réactivité. Après certains diront que les développeurs des LL sont plus réactifs que les autres...
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: ...
Posté par Littleboy . Évalué à -10.
De ce que j'ai pu trouver, c'est a peu de chose pret equivalent (et faut trier le FUD des deux bords, c'est le bordel complet si on veut juste le nombre de jours avec une vulnerabilite "systeme" non patchee).
Et si je voulais etre mechant, je dirais que parfois le LL est tellement reactif que certains patchent la vulnerabilite dans leur repository [1] avant meme d'annoncer la faille (cado cado pour les crackers)...
[1] Bon ok, 2 ans apres l'avoir introduite, mais bon on va pas s'arreter a ce genre de details quand meme!
[^] # Re: ... lecture
Posté par passant·e . Évalué à 10.
- http://standblog.org/blog/post/2009/04/27/Mesurer-ce-qui-est(...)
- http://pro.01net.com/editorial/404820/securite-et-open-sourc(...)
- http://blog.washingtonpost.com/securityfix/2007/01/internet_(...)
L'article commence à dater (2007). Il explique qu'Explorer à été vulnérable pendant 284 jours en 2006 alors que Firefox l'a été pendant 9 jours seulement.
Concernant l'annonce des failles de sécu c'est un peu plus compliqué.
- Tu peux avoir une approche 0day. Dès que tu découvres la faille tu publies un "exemple d'exploitation" (proof of concept) et les éditeurs doivent se dépêcher de mettre en place un correctif. : http://www.milw0rm.com/ ça fout pas mal le bordel et ça permet aux pirates d'exploiter rapidement la faille. Certains justifien cette approche par le manque de fairplay des éditeurs ou plus simplement par une préférence de mettre les gens devant le fait accompli.
- Tu peux avoir une approche coopérative (genre suivre la RFPolicy de rain forest puppy). Tu découvres une faille, tu préviens les éditeurs concernés, ils mettent en place les correctifs nécessaires, tu annonces publiquement la faille. Tu peux lire l'exemple de la "Faille dns mondiale" découverte par Dan kaminsky en 2008 : http://www.techno-science.net/?onglet=news&news=5588
- Il y a plein d'autres approche genre le mouvement antisec qui refuse toute publication d'alertes de sécurité pour barrer la route aux scriptes kiddies...
voilà voilà
Je trolle dès quand ça parle business, sécurité et sciences sociales
[^] # Re: ... lecture
Posté par TImaniac (site web personnel) . Évalué à 6.
Et tu ressortira toujours les stats de 2006 en 2014 ?
Internet Explorer 7/8 en 2009, c'est 3 failles avec patchs publiés le jour même.
Firefox 3/3.5 en 2009, c'est 7 failles avec patchs publiés le jour même et 1 qui n'a pas de patch depuis hier.
(si j'en crois secunia)
Il y a quand même une nette évolution.
[^] # Re: ... lecture
Posté par TImaniac (site web personnel) . Évalué à 0.
[^] # Re: ... lecture
Posté par grid . Évalué à 3.
C'est très mal vu ici. Tu as ton permis de troller ?
[^] # Re: ... lecture
Posté par zebra3 . Évalué à 10.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: ... lecture
Posté par Paf . Évalué à 5.
- L'annee 2009 n'est pas encore terminee
- Je peux appliquer les patchs que je veux a firefox et ne suis pas a la merci de la fondation mozilla. Avec un logiciel proprietaire, je suis a la merci de son auteur et suis donc constraint a son temps de reactions.
Sinon par curiosite, ou se trouve le bug tracker d'IE ?
[^] # Re: ... lecture
Posté par grid . Évalué à 5.
Mouais,
>> Je peux appliquer les patchs que je veux a firefox et ne suis pas a la merci de la fondation mozilla.
Personnellement, je suis à la merci de fondation Mozilla, et j'émets un doute lorsque tu prétends être capable de patcher les failles de Firefox ;-) C'est là toute la différence entre la théorie et la pratique.
>> Sinon par curiosité, ou se trouve le bug tracker d'IE ?
Il faut être couillu pour oser poser ce genre de question alors qu'on parle de trou de sécurité ;)
Ceci dit, le bug tracker des failles chez Mozilla n'est pas dispo publiquement non plus.
[^] # Re: ... lecture
Posté par Paf . Évalué à 7.
En general je «triche». Je prends le SRPM, ajoute mon patch ou change l'archive contenant les sources, puis reconstruit le rpm.
Bien evidement ce n'est pas le genre de trucs tres beau ou fait pour durer, mais c'est rapide, pratique et ca marche.
Cela a deja ete teste avec theora, un module noyau...
Mais le plus important n'est pas que ce soit facile ou pas, mais que ce soit possible.
A ce moment la, a quoi bon le logiciel libre vu que la plupart des utilisateurs ne savent pas coder et ne toucheront jamais au code ?
Ce n'est pas parce que cela ne t'interesse pas que ca n'interesse pas les autres.
Dans le cas de firefox, meme si tu toi ou l'utilisateur lambda ne sauras pas le patcher, les gens s'occupant de ta distribution favorite pourront toujours l'appliquer pour toi.
Il faut être couillu pour oser poser ce genre de question alors qu'on parle de trou de sécurité ;)
Ceci dit, le bug tracker des failles chez Mozilla n'est pas dispo publiquement non plus.
Ce n'est pas parce qu'un ticket lie a une faille de securite dans Mozilla sera confidentiel le temps de preparer un patch que ce ticket restera confidentiel a jamais.
D'apres http://www.mozilla.org/projects/security/security-bugs-polic(...) :
- Please try not to keep bugs in the security-sensitive category for an unreasonably long amount of time.
- Please try to be understanding and accommodating if a Mozilla distributor has a legitimate need to keep a bug in the security-sensitive category for some reasonable additional time period, e.g., to get a new release distributed to users. (Regarding this point, if all Mozilla distributors have a representative on the security bug group, then even if a bug remains in the security-sensitive category all affected distributors can still be informed and take appropriate action.)
[^] # Re: ... lecture
Posté par B16F4RV4RD1N . Évalué à 4.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: ... lecture
Posté par TImaniac (site web personnel) . Évalué à 2.
Seuls les stats sur 12 mois sont utiles c'est ça ?
Je peux appliquer les patchs que je veux a firefox et ne suis pas a la merci de la fondation mozilla.
Et ? 99% des utilisateurs de Firefox n'ont jamais et ne patcherons jamais Firefox de leur propre initiative, le problème reste entier pour ces personnes.
[^] # Re: ... lecture
Posté par Littleboy . Évalué à 1.
Juste par curiosite, l'as tu deja fait?
Parce que la difference entre "je peux" et "j'ai fait" a une legere importance. Ca n'a rien d'insurmontable, mais le build de mozilla a quelques petites particularites qui font que c'est pas toujours aussi simple que ./configure, make et make install.
Sans compter que patcher le coeur de Mozilla, si c'etait super simple, ca se saurait. Ceux qui ont fait de la programmation COM sous Windows (paix a leur ame) compatissent...
Et comme le dit grid, le bugtracker de Mozilla pour l'instant il dit Access Denied (et ils ont raison).
[^] # Re: ... lecture
Posté par Gniarf . Évalué à 4.
à se demander comment ça se passe chez Gentoo. ah ben justement on te fournit une chaine de compilation qui marche :)
c'est précisement ça qui cloche sous Windows, comme pour les applis GTK (the Gimp, Inkscape, xchat) parce qu'il faut se taper 20 libs d'abord avant de commencer à vraiment pouvoir jouer mais c'est pas insurmontable non plus. forcément. sinon on les aurait pas, ces .exe
[^] # Re: ... lecture
Posté par Anonyme . Évalué à 5.
grace au source :) et mes testes je prenais la version ieee1394 qui marchais le mieux pour moi (2.4.18) que je portais vers le 2.4.2x
je copiais juste le repertoire ieee1394/ a l'arrache pour ecraser la nouvelle version. Rien de bien difficile mais c'etait possible uniquement parce que j'avais les sources, je suis encore tous surpris que cela marchais :).
voila un petit exemple de l'utilité d'avoir les sources, avec un OS proprio ils m'auraient surement dit d'attendre la nouvelle version, de redemarrer etc... et mon disque dur ieee1394 serais parti a la poubelle.
[^] # Re: ... lecture
Posté par Laurent J (site web personnel, Mastodon) . Évalué à 3.
# Pendant ce temps chez la concurrence...
Posté par Anonyme . Évalué à 1.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Littleboy . Évalué à -9.
Pendant ce temps, chez Mozilla...
Solution Status: Unpatched
La prochaine fois, prend une faille (classee "highly critical" hein, sinon c'est de la triche) non patchee, ca t'evitera de passer pour un idiot...
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Gniarf . Évalué à 1.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Littleboy . Évalué à -10.
Non, sans blague?
Tu vois, vous faites exactement ce que je dis dans mon journal. Des qu'il y a une faille dans un LL, vite une recherche google dessus pour montrer que chez MS il y a la meme chose, histoire de mettre juste un lien. Le degre 0 du commentaire...
Mozilla a une faille critique non patchee, ils vont la corriger et il y a un contournement, ca ne rend pas Firefox meilleur ou moins bon, "tous" les logiciels ont des failles. La seule chose que ca impacte, c'est leur marketing et leur image de "meilleur" navigateur. Apparemment ca fait chier certains cretins, mais bon on a l'habitude.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Gniarf . Évalué à 4.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Littleboy . Évalué à -6.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Laurent Cligny (site web personnel) . Évalué à 5.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par grid . Évalué à 4.
Si on s'arrêtait à ça. Gniarf< n'aurait lui aussi aucune crédibilité.
Linus lui-même qui insulte joyeusement les dévs aurait un karma proche de zéro.
Personnellement, je suis en accord complet avec les propos tenu dans le journal.
Je suis aussi d'accord pour dire que Cooker a fait un commentaire idiot (Ca lui arrive parfaois) en sortant une faille qui n'a rien à voir en terme de gravité est qui est déjà patché par MS.
Vous pouvez moinsser Littleboy< pour ses propos, mais objectivement, ils sont dans le sujet et ils sont pertinent.
Et tant pis pour les pisses-froids que ca défrisent.
PS: Quand à la teneur trollesque du journal, s'il n'avait poster que le lien sans commentaire, on lui aurait aussi reprocher.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par adonai . Évalué à 6.
Comment dire...
[^] # Re: Pendant ce temps chez la concurrence...
Posté par B16F4RV4RD1N . Évalué à 4.
Mais si tu veux une faille notée plus grave, et non patchée, on a cela également, en "Extremely critical" :
http://secunia.com/advisories/35800/
"A vulnerability has been reported in Microsoft Office Web Components, which can be exploited by malicious people to compromise a user's system.
The vulnerability is caused due to an unspecified error in the Spreadsheet ActiveX control and can be exploited to corrupt memory.
Successful exploitation allows execution of arbitrary code.
NOTE: According to Microsoft, the vulnerability is currently being actively exploited."
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Pendant ce temps chez la concurrence...
Posté par grid . Évalué à 2.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Yth (Mastodon) . Évalué à 4.
Tu trouves une faille et hop tu sautes dessus en disant « hahaha, vous voyez bien ? ».
A quoi ça sert, tu es vexé que FF soit de meilleure qualité que IE, et tu cherches à exprimer ta frustration ?
Apparemment tu n'es pas utilisateur de LL, sinon tu ne dirais pas « vous » en parlant des utilisateurs de LL.
J'ai donc une suggestion simple à te faire : essaye et fait toi une idée objective de l'intérêt apporté (ou non).
Yth.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par grid . Évalué à -5.
Objectivement, nous avons affaire à un commentaire de Jojo le mouton, membre de la communauté de DLFP qui charge un pauvre type pour se faire applaudir de la communauté des moutons.
>>> « vous » dont tu sembles vouloir t'exclure.
On montre bien qu'on peut attaquer la bête, celle-ci ne fait pas partie du troupeau.
>>> A quoi ça sert, tu es vexé (blabla)
L'attaque en elle-même. Plutôt faible d'ailleurs, puisque à coté de la plaque.
>>> Apparemment tu n'es pas utilisateur de LL,
Ensuite un procès d'intention. ajoutont le ridicule à l'attaque.
>>> J'ai donc une suggestion simple à te faire
Pour terminer par Jojo le moralisateur.
On se demande qui a besoin d'introspection ici.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Yth (Mastodon) . Évalué à 8.
J'ai surtout pointé acerbement du clavier les aspects de ses commentaires qui relèvent de la Flame War.
Il se pose du côté de ceux qui disent depuis toujours que ce qui vient d'arriver devait arriver, c'est un prophète mais c'est bien sûr, que n'y avions-nous songé plus tôt !
Il prend la position de victime « ah, je savais que vous alliez réagir comme ça ! » sous-entendu : la discussion est impossible (je suis brimé, bouhouhou pauvre de moi, tous des salauds sur LinuxFR).
Et il se met bien à l'écart d'un groupe de gens qualifié de « vous », et qui seraient des fanatiques incapables d'objectivité, et qu'il viendrait, en sauveur, pourfendre de sa prose...
Il est à deux millimètres du point Godwin (sans l'atteindre j'en conviens).
Je ne dis pas qu'il n'a pas quelque part raison de dire que parmi les utilisateurs de logiciels libres, il y en a pour ne pas chercher plus loin que « tel logiciel n'est pas libre : c'est de la merde », et mal supporter la critique d'un LL comparé à un LP.
Mais il le fait en cherchant à se prendre des gnons, et ensuite il traite les gens qui réagissent à son commentaire provocateur de je cite « crétins ».
Tu ne vas pas me faire croire qu'il fait preuve d'une intelligence exacerbée et d'un sens élevé du dialogue...
Alors quand je lui suggère de se faire une idée par lui-même en essayant les LL, c'est un désamorçage en essayant de le tourner un peu en ridicule, histoire que l'affaire s'arrête là.
LinuxFR ne s'est pas construit sur des Flame Wars, le Troll est un animal poilu bien connu et relativement bien contrôlé. Et oui il y a un a priori, un préjugé, en faveur des logiciels libres et en défaveur des logiciels proprio. Mais ça fait bien longtemps que la communauté LinuxFR a montré qu'elle savait accepter les avis divergeant et le dialogue, pour peu qu'il soit argumenté et poli.
Maintenant, libre à toi d'essayer d'alimenter la Flame War, mais en toute honnêteté, avec ou sans moi, elle fera long-feu, ça ne marche pas ici ce genre de tentative, tu n'es pas le premier, tu ne seras pas le dernier, et ça sera toujours autant peine perdue...
Yth.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par grid . Évalué à 0.
Soit sérieux 2 minutes, quelqu'un qui poste sur DLFP une information sur une faille de sécurité ne serait pas un utilisateur de LL ? Il faut arrêter de dire n'importe quoi. Il est EVIDENT un utilisateur
>>> LinuxFR ne s'est pas construit sur des Flame Wars,
J'ai craché mon café à cause de toi. Merci pour la rigolade. On trouve içi quand même des trolls de haute voltige qui ont fait la réputation du site. Même s'il n'y a pas que ça.
>>> La communauté LinuxFR a montré qu'elle savait accepter les avis divergeant et le dialogue, pour peu qu'il soit argumenté et poli.
J'ai le regret de te dire que malheureusement, ce n'est pas mon opinion.
PS: Poli n'est pas une condition obligatoire pour moi pour qu'un commentaire soit intéressant. Précis, argumenté oui. Après, chacun son choix.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par mscestdelamerde . Évalué à 1.
Si ceux qui sont sur DLFP doivent utiliser les logiciels libres cela veut dire que certaines personnes sur ce site sont schyzophreniques.....
[^] # Re: Pendant ce temps chez la concurrence...
Posté par brunus (site web personnel) . Évalué à 5.
Il faut comparer ce qui est comparable, et les avantages procurés par une licence libre font qu'un programme libre, et d'emblée plus intéressant qu'un programme sous licence propriétaire.
Donc dans la balance, IE ne pèse pas lourd : il n'est pas libre, il est affecté par plus de faille de sécurité que Firefox, les patchs sont moins fréquents (sisi, c'est un fait, on s'en rend bien compte dans les studios de développement web, car on utilise un peu tous les navigateurs pour valider le code), et surtout...il ne dispose pas de la foultitude de plugins plus qu'utiles dont dispose Firefox.
C'est le combat d'un sumotori (FF) contre une ballerine (IE)...encore que la ballerine doit pouvoir courir plus vite que le sumotori ;-p
En tous cas ils ne combattent vraiment pas dans la même catégorie.
Par contre on peut comparer Firefox avec d'autres navigateurs libre, on risque pas de ce prendre des commentaires négatifs et de voir le journal sombrer dans les abysses des journaux pourraves.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Thomas Douillard . Évalué à 1.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par balzane . Évalué à 3.
Suis-je le seul à ne pas arriver à déterminer si c'est du second degré ou non ?
Si c'est du premier degré, c'est tout de même bizarre que FF ait pu prendre des parts de marché à IE 6, et que MS ait reformé une équipe de développement pour contrer FF avec IE 7, non ? :-)
IE ne peut pas être un concurrent de Firefox, IE n'est pas libre
Suis-je le seul à ne pas arriver à déterminer si c'est du second degré ou non ? (bis)
Si c'est du premier degré, (bis), je reste dubitatif devant la causalité implicite de ta phrase. À usages identiques ou proches, un logiciel propriétaire ne serait pas concurrent d'un logiciel libre, parce qu'il n'est pas libre ? L'affirmation me semble d'autant plus gratuite que la philosophie du libre, c'est pas ça qui fait marcher le logiciel (et pourtant, je pense être libriste ; je crains être détrompé avec virulence).
Oserais-je un aussi trollesque « IE ne peut pas être un concurrent de Lynx, IE n'est pas libre » ? D'ailleurs avec Lynx le chargement des pages est beaucoup plus rapide.
Je pense qu'à moins qu'il soit un authentique et extrémiste barbu disciple de RMS, l'utilisateur choisi son logiciel en fonction de son usage ET, lorsqu'il en a, de ses convictions en matière de LL, chacun ayant son propre ratio perte de fonctionnalités acceptable / respect des saintes écritures GPL et dérivés.
Un logiciel libre X est concurrent d'un logiciel propriétaire Y parce que X est proche, mieux, positivement différent de Y, et ne devient pas incomparable du seul fait de sa libritude.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par moi1392 . Évalué à 2.
"c'est tout de même bizarre que FF ait pu prendre des parts de marché à IE 6, et que MS ait reformé une équipe de développement pour contrer FF avec IE 7, non ? :-)"
je trouve qu'à elle seule elle discrédite ie et tout autre produit ms pour le reste de l'éternité !
en gros, s'il n'y a aucune concurrence, on s'en fou complètement de tout, les logiciels peuvent pourrir, plus rien n'évolue, l'informatique stagne, c'est la merde...
Et là ils se bougent le cul juste parce qu'ils ont un concurrent ??? ils ne pouvaient pas faire un tout petit effort avant ?? Personne ne leur demandait la lune, mais quand même...
donc pour moi, utiliser les logiciels proprio de sociétés qui ont ce genre de comportement, c'est une hérésie envers soi même, et j'ai vraiment un mal de chien à comprendre ceux qui le font encore. Et même si ie 27 devenait 1000 fois mieux de tout autre navigateur avec des super fonctionnalités de la mort qui tue, je ne l'utiliserait pas pour la même raison, parce qu'on s'est foutu de ma gueule et parce que je veux que les choses continuent à évoluer.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Laurent Cligny (site web personnel) . Évalué à 4.
Si je comprend bien tu reproches (et à juste titre) l'immobilisme de Microsoft en ce concerne IE6 à l'époque où ils n'avaient aucun concurrent dangereux sur le marché des navigateurs, et juste après tu clames haut et fort que tu va faire la même chose qu'eux, c'est à dire ne pas faire l'effort de remettre en cause tes préjugés, quand bien même la qualité serait au rendez-vous. J'appelle ça de la mauvaise foi.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Gniarf . Évalué à 2.
la bonne blague, la qualité n'est pas forcément le seul critère de choix.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par moi1392 . Évalué à 1.
pour l'instant, j'utilise firefox, mais je suis un grand garçon et je n'hésiterai pas à changer s'il ne me conviens plus ou si la fondation mozilla pète les plombs.
il faut juste éviter d'interpréter ce que tu veux entendre à partir de ce que j'ai dit.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par Batchyx . Évalué à 2.
On vois bien ceux qui utilisent Lynx et ceux qui l'utilisent pas.
Pour info, Lynx attend que la page soit entièrement chargée avant de pouvoir naviguer dedans, contrairement à d'autres navigateurs (graphiques ou non). Pour les grosses pages avec des petites images, Lynx est pas plus rapide.
Sans parler de ce qui se passe lorsqu'on à une connexion wifi en limite de (la faible) portée, ou le réseau peut être coupé pendant 4s (ou plus), alors qu'il manque juste le dernier Ko de la page.
[^] # Re: Pendant ce temps chez la concurrence...
Posté par balzane . Évalué à 2.
Est-ce que Netscape 4 ne chargeait pas lui aussi la page ou les tableaux avant d'autoriser la navigation ?
J'ai en mémoire ce genre de comportement à l'époque de mes premières escapades sur le web, fin des années 90. Il fallait patienter jusqu'au boooooooooout du chargement de la page, le temps que chaque petite cellule remonte des profondeurs du cyberespace.
Et des cellules, à l'époque, il y en avait plus que RMS ne pourrait en bénir... Merde, ça y est, je suis un vieux con !
[^] # Re: Pendant ce temps chez la concurrence...
Posté par mscestdelamerde . Évalué à 1.
et celle la elle est utilise et le browser il vient pas juste de sortir avec un nouveaau moteur javascript tout neuf.
Donc 1 partout balle au centre.
# Pertinent ou inutile ?
Posté par pampryl . Évalué à 4.
Dommage... et vu les commentaires qui suivent du rédacteur, l'envie n'est pas près de me revenir.
[^] # Re: Pertinent ou inutile ?
Posté par Littleboy . Évalué à -1.
Si j'avais voulu avoir un score a 2 chiffres, j'aurais fait la meme recherche que Cooker et j'aurais rajoute que chez MS en fait c'est pire. Voila, pertinentage assure...
Et tu noteras que le troll est pas du tout sur le LL c'est nul ou Firefox ca pue, c'est uniquement sur le comportement de certains extremistes du LL sur LinuxFr...
[^] # Re: Pertinent ou inutile ?
Posté par ß ß . Évalué à 10.
Et tu noteras que le troll est pas du tout sur le LL c'est nul ou Firefox ca pue, c'est uniquement sur le comportement de certains extremistes du LL sur LinuxFr...Alors que le comportement « vous êtes tous des idiots et je le prouve, j'ai raison bande de nazes » est lui loin d'être extrémiste.
Merci pour ton humilité (et pour cette bonne tranche de rire).
[^] # Re: Pertinent ou inutile ?
Posté par Guillaume Denry (site web personnel) . Évalué à 10.
Cela étant dit, merci quand même pour la nouvelle sur la faille.
[^] # Re: Pertinent ou inutile ?
Posté par grid . Évalué à -5.
Tant mieux, il renvoi la balle dans la gueule avec des arguments et des faits. Que demander de plus ?
>>> On a franchement d'autres à chats à fouetter
Mon dieu, un décideur pressé. Il faut attendre le résumé de la faille dans le prochain courrier international.
>>> merci quand même pour la nouvelle sur la faille.
Et merci pour son commentaire.
[^] # Re: Pertinent ou inutile ?
Posté par pampryl . Évalué à 2.
Par contre certains de tes commentaires eux n'apportent pas beaucoup d'eau au moulin (comme mon précédent commentaire le courant, d'ailleurs).
[^] # Re: Pertinent ou inutile ?
Posté par grid . Évalué à 0.
L'affirmation est :
"Un logiciel largement diffusé sera la cible d'attaques, d'ou l'apparition de zéro day, qu'il soit open source ou pas."
Maintenant, pour aller à fond dans le troll, je vais poser quelques question qui me turlupinent depuis un moment.
Le release often (nécessaire à une bonne sécurité) est-il compatible avec le grand public ? (Mise à jour, tout ça) Vrai ou faux ?
Même si le source de mozilla est globalement libre, l'organisation des développeurs a l'air d'être très hiéarchisé et ressemble vachement à une organisation d'un éditeur propriétaire. C'est mon sentiment. Vrai ou Faux ?
Voilà, on peut marcher dedans.
[^] # Re: Pertinent ou inutile ?
Posté par pampryl . Évalué à 4.
Pas de chance pour Mozilla en tout cas, entre un 0-day et une énorme régression dans NSS (a vouloir réinventer la roue, aussi), c'est pas le bon moment pour partir en vacances.
C'est plus facile à défendre en oubliant un morceau, je te l'accorde...
[^] # Re: Pertinent ou inutile ?
Posté par grid . Évalué à 0.
Et des griefs technique contre Firefox, il y en a des tonnes.et la propension chez Mozilla à réinventer la roue n'est plus à démontrer.
>>> C'est plus facile à défendre en oubliant un morceau, je te l'accorde...
Tu sous-entends que je l'aurais fait exprès pour ensuite pervertir tes propos et les siens par de vils intentions malhonnêtes? Ça ne va pas la tête.
[^] # Re: Pertinent ou inutile ?
Posté par pampryl . Évalué à 8.
C'est un peu comme regarder le 20h de TF1, tu as l'info, mais le bruit est tout de même pas mal orienté et a une grosse tendance à porter certaines idées qui ne sont pas forcément partagées par tous (et bien heureusement sur ce point).
C'est si compliqué de donner une info et d'éviter d'y rajouter du "bruit" ? Ou bien il faut absolument se convertir aux idées des rédacteurs ?
[^] # Re: Pertinent ou inutile ?
Posté par grid . Évalué à 1.
Je trouve son "lynchage" injustifié. Un journal actuellement à "-14" pour une info sur une faille critique d'un logiciel libre, ca fait bizarre.
Et sincèrement et en toute amitié, ta crise de conscience pour savoir s'il faut ou pas que tu "moinsse" le journal, on s'en fout. :-)
[^] # Re: Pertinent ou inutile ?
Posté par pampryl . Évalué à 3.
(... en parlant d'une partie de son journal)
donc, pour moi son commentaire n'est pas du bruit.
Euh...
Sans amitié aucune mais aussi en toute sincérité et avec tout le respect du monde, tu tiens une position assez mouvante. Un coup, tu filtres une partie 'commentaire' de son journal avec le prétexte que c'est du "bruit" et lorsqu'on justifie un avis sur cette partie du journal en utilisant ce terme de "bruit", tu considères que ça n'en n'est pas. C'est inconsistant pour le moins.
Et si j'ai exprimé ma "crise de conscience" c'est pour signaler un certain problème lors de la lecture. Problème que je ne semble pas le seul à rencontrer...
[^] # Re: Pertinent ou inutile ?
Posté par grid . Évalué à 3.
L'information principale : la faille de mozilla
Information secondaire : Son opinion sur cette faille.
Le bruit : Ce fil de discussion.
[^] # Re: Pertinent ou inutile ?
Posté par Littleboy . Évalué à 2.
NSS lit les fichiers des repertoires de cache de IE (gnii?) entre autre et utilise les donnees pour rajouter de l'alea. Depuis Win2000 (version patche), disons XP pour etre 100% sur, les fonctions systemes fournissent quelque chose de tout a fait solide (CryptGenRandom).
Au final, les mainteneurs de NSS vont semble-t-il ne garder ce code que pour les versions de Windows < XP et utiliser CryptGenRandom dans les autres cas.
enorme regression = jusqu'a 2 minutes pour demarrer FF chez certains
reinventer la roue = essayer de generer de l'alea a la main au lieu d'utiliser les fonctions du systeme lorsqu'elles sont solides
Ca va etre corrige dans 3.5.1 (ou 3.5.2 si ils sortent juste un correctif pour la faille sur font le plus vite possible et que c'est pas pret).
[1] http://weblogs.asp.net/fbouma/archive/2009/07/09/the-firefox(...)
[2] http://weblogs.asp.net/fbouma/archive/2009/07/11/follow-up-o(...)
[3] https://bugzilla.mozilla.org/show_bug.cgi?id=501605#c121
[^] # Re: Pertinent ou inutile ?
Posté par Gniarf . Évalué à 8.
ne pas confondre "release" often et "fix often". avec Firefox on n'est plus dans le "release often" depuis, disons, la version 1.0
et quand à la compatibilité avec le grand public, beuh on peut constater que ca fait pas mal de temps que les logiciels savent détecter et même carrément télécharger puis installer leurs propres mises à jour. c'est raisonnablement neuneu-proof, donc oui c'est compatible grand public.
par contre ca me fait hurler de constater que j'ai au final 50 updaters qui se lancent puis tentent de se connecter tous en vrac au démarrage d'un Windows après quelques semaines d'utilisation... un pour Google, un pour Adobe, un pour Sun/Java, un pour Apple, un pour le pape, un pour le chien... merde, Microsoft gère ça quand même mieux !
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pertinent ou inutile ?
Posté par Hrundi V. Bakshi . Évalué à 1.
[^] # Re: Pertinent ou inutile ?
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 4.
[^] # Re: Pertinent ou inutile ?
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pertinent ou inutile ?
Posté par suJeSelS . Évalué à 4.
# L'insécurité...
Posté par gUI (Mastodon) . Évalué à 10.
Ca me rappelle un peu les politiciens sur l'insécurité, où au nom de la sécurité, on rend tout possible. C'est un comportement qui est (à juste titre) fortement critiqué ici, et je pense qu'on pourrait aller un peu plus loin en arrêtant cette chasse aux sorcières du "patch de sécurité", comme si on était en sécurité dès qu'aucune faille n'était connue à un instant T.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# OSEF
Posté par Snarky . Évalué à 10.
(Ça doit au moins faire 6 ans que j'ai pas écrit une balise <font> dans une de mes pages)
# Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par Mr Kapouik (site web personnel) . Évalué à 9.
Pourtant pour un compté créé en 2001 j'aurai cru un peu plus maturité dans un commentaire pareil.
Je ne suis pas un défenseur de Mozilla qui selon moi fait assez de merde toute seule sans qu'on en rajoute mais le coup de la faille faut pas oublier que eux ils les annoncent alors que les autres n'annoncent jamais rien !
http://www.pcinpact.com/actu/news/50412-mozilla-secunia-fire(...)
tiens ça te fera un peu de lecture : ça traite du dernier rapport de secunia sur les failles dans firefox !
Sinon j'aimerai bien savoir où l'on trouve les faille annoncé dans internet explorer que secunia ou autre affiche parce que je ne vois nul part de section pour cela sur le site de microsoft. Pire encore quand on installe un correctif de sécurité, en cherchant pas mal on sait que le correctif corrige une faille critique dans composant essentiel d'internet explorer ...
Bref les failles sur des logiciels il y en a toujours eut et il y en aura toujours. Bind9 est connu pour avoir eut un passé remplie de découverte du genre et pourant il gère l'ensemble du réseau DNS mondial. Sendmail ne fait pas non plus exception à la règle dans ce domaine.
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par TImaniac (site web personnel) . Évalué à -5.
C'est quoi la différence au niveau risque entre une faille découverte par MS en interne et une faille toujours pas découverte ?
C'est quoi la différence au niveau risque entre une faille toujours pas découverte et son annonce par Mozilla ?
Sinon j'aimerai bien savoir où l'on trouve les faille annoncé dans internet explorer que secunia ou autre affiche
Tu lis secunia ou quoi ? C'est marqué noir sur blanc la source, exemple :
"Original Advisory:
Microsoft (KB969897):
http://www.microsoft.com/technet/security/Bulletin/MS09-019.(...)
Core Security Technologies:
http://www.coresecurity.com/content/ie-security-zone-bypass
Fortinet’s FortiGuard Global Security Research Team:
http://www.fortiguardcenter.com/advisory/FGA-2009-22.html&qu(...)
parce que je ne vois nul part de section pour cela sur le site de microsoft.
Forcement, quand on cherche pas, on trouve pas :
http://technet.microsoft.com/fr-fr/security/default.aspx
Je finirais par citer le sujet de ton commentaire :
"Quand on ne sait pas on la ferme ça évite de passer pour un âne !"
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par Mr Kapouik (site web personnel) . Évalué à 5.
Tu saurais que Microsoft aussi a des bug annoncé publiquement et pas toujours corrigé dans la minutes qui arrive mais que Mozilla sait aussi sortir un patch et dire en meme temps : au fait on avait 6 failles critiques assez monstrueuse. La différence que tu demande donc c'est juste que Mozilla ne cache aucune information alors Microsoft ou Opera Software ou tout les éditeurs de logiciel propriétaire ne se gène pas pour le faire !
Maintenant deux beaux exemples vu que tu veux jouer sur les mots :
http://www.microsoft.com/france/technet/security/bulletin/ms(...)
Donc nous avons là une belle faille corrigé sur IE aujourd'hui dont on sait quel produit sont touché et l'on sait que le problème vient d'ActiveX mais pas plus. Cette faille a peut être trois ans je n'en saurai pas plus et c'est déjà bien que je sache qu'il y en a une (et même peut être deux ou trois mais on va dire que MS est de bonne foie).
http://www.mozilla.org/security/announce/2009/mfsa2009-32.ht(...)
Voila maintenant la dernière faille corrigé de firefox. Nous savons que ça touche l'élément nsSidebar.prototype.getInterfaces() et si tu en veux plus tu as le code impacté et le correctif. De plus tu sais que la faille a été connu le 20/02/2009 et corrigé le 11 juin de la même année. Et oui pour celle là on a pas fait un même tapage car la faille est resté connu que de mozilla et des developpeur accrédité le temps de sa résolution pour garantir la sécurité de tout le monde. Mais après c'est totale transparence.
Une faille connu publiquement parce que mal annoncé a son éditeur ça arrive souvent : mais de la à pointé le logiciel libre en disant il est plus faillible parce qu'il ne l'a pas corrigé dans l'heure qui suit (on peut dire pareil pour tout les logiciels propriétaires) est complètement ridicule. Un logiciel libre n'est pas plus sécurisé qu'un logiciel propriétaire mais la gestion des correctifs de sécurité étant transparente, cela rend le processus largement plus efficace pour tout le monde.
Alors oui peut être que tu n'es pas développeur et que tu t'en fou du code source qui corrige tel ou tel élément mais même si un seul utilisateur sur 100 000 va lire le code et l'auditer, c'est toujours une personne de plus a veiller à découvrir les failles avant les pirates.
Maintenant vu que tu es si intelligent et que tu vas me démontrer en réponse que j'ai totalement tord et que je suis un abruti complet je te demanderai juste une réponse :
Toi qui est si fort dans le domaine de la sécurité informatique et qui connais tellement la fiabilité des logiciels libres : Pourquoi tu viens troller inutilement alors que tout le monde ici sait qu'une comparaison est strictement impossible sans avoir un accès complet aux informations sur le développement des deux logiciels ?
Question subsidiaire : si IE est si sécure pourquoi tu viens lire des nouvelle sur le libre au lieu de continuer t'en tenir uniquement aux technologie microsoft ?
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par TImaniac (site web personnel) . Évalué à -2.
Pourquoi toutes tes remarques concernent des propos que je ne tiens pas et que tu te plais à imaginer ?
T'es ronchon parcque je t'ai montré les sources de secunia que tu prétends ne pas voir ?
Ce message est écrit par un développeur de logiciel libre depuis son navigateur Firefox 3.5 avec le JIT JavaScript désactivé.
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par grid . Évalué à 1.
Le détail de la faille MS était à 2 clics du lien que tu as donné http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0(...)
Il faut essayer de garder son calme et regarder la situation le plus honnêtement possible.
La sécurité a augmenté ces dernières années chez Microsoft (je dirais 4/5 ans, en fait, depuis le coup de gueule de Billou) MS dispose aussi de canaux de communication de sécurité et communique beaucoup plus qu'avant. (Bulletin de sécu...). Ce ne sont pas forcément les mêmes que les canaux du libre, mais l'écosystème n'est pas exactement le même.
L'utilisateur final de MS ne s'intéresse pas (à 99%) à ce genre de détail. Dans le milieu du libre, beaucoup plus d'utilisateurs finaux sont intéressés (culturellement)
donc, pour moi égalité
>>> j'ai totalement tord
Non, tu as peut-être tort. Mais je ne dirais pas que tu es tordu.
>>> si un seul utilisateur sur 100 000 va lire le code et l'auditer...
Dans le LL, on a possibilité de lire le code, mais aucune garanti que ca sera fait. Et effectivement, il y a de forte probabilité que ce code soit effectivement auditer sur les composants critique.
Aujourd'hui MS fait un audit sécurité sur l'ensemble de ces softs avant mis à disposition (discours officiel, à toi de les croire ou pas.)
Au final, donc, pour moi égalité
>>> Question subsidiaire : blablabla.
Restons calme
En conclusion, en tant qu'utilisateur final de navigateur web, les deux modèles de sécurité proposés aujourd'hui me paraissent équivalent.
Ce qui est sûr, c'est que les 2 partis ont aucun intérêt à attendre avant de patcher leur logiciel. Ils font avec leur moyen et leur philosophie de fonctionnement.
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par Axel . Évalué à 0.
- à coté de la plaque
- un tantinet véhément
- doté d'une orthographe douteuse
- pas crédible
Et pourtant il est plussé. Franchement. Comment pouvez vous pertinenter ce genre de propos :
si IE est si sécure pourquoi tu viens lire des nouvelle sur le libre au lieu de continuer t'en tenir uniquement aux technologie microsoft ?
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par zerchauve . Évalué à 1.
Alors je vais juste te dire que Microsoft c'est du pipi de caca, que Amaya roulaize pour mater des videos de flute de RMS avec Gnash, que Google c'est du caca de pipi, comme Free, et que la FSF sauve un chatton a chaque fois que God kills a kitten.
[^] # Re: Quand on ne sait pas on la ferme ça évite de passer pour un âne !
Posté par Zenitram (site web personnel) . Évalué à 2.
Pourquoi lorsqu'on donne des explications qui ne vont pas dans le sens du poil des libristes, on se prend des gros moissages?
Pourquoi doit-on avoir le droit à "si tu n'est pas 100% avec moi, tu es contre-moi"?
Pourquoi se fait-on insulter par un "tu as osé dire du bien d'un produit MS, vade retro satanas va jouer avec que des produits MS, le libre ne veut pas de toi"?
Heureusement, la communauté du libre ne pense pas majoritairement comme ça, et que donc on a le droit à un concurrent de IE sous Windows.
Car avec ta façon de voir, FF ne serait pas disponible pour Linux (c'est vrai quoi, pourquoi faire un navigateur libre pour un OS non libre?), et serait cantonné à 0.5% de part de marché, on n'en parlerai même pas ailleurs qu'ici.
Mais bon, faut faire avec les intégristes du libre, c'est la vie...
# ce n'est pas si grave
Posté par GG (site web personnel) . Évalué à -1.
cette faille, bien qu'elle puisse impressionner certain, n'est pas si grave parce que nombre d'utilisateurs ne feront pas la mise à jour vers Firefox 3.5.
Hé oui, certaines extensions ne fonctionneront pas, d'autres vont préférer une version un peu plus mûre.
Donc au final, ceux qui mettent à jours rapidement leur Firefox seront aussi assez rapidement à jour.
Pour ma part, j'attends que ce soit inclus dans ma distribution, et que les extensions que j'utilise soient compatibles, du coup, je ne suis pas concerné par cette faille tout comme la plupart des utilisateurs.
Je ne parlerai pas de l'autre navigateur de chez Machin, on sait tous combien il est pourri pour l'interprétation des pages HTML avec du css, et qu'il à fallut plus de 6 ans pour avoir une nouvelle version (de 6 à 7) en sachant que la version 7 ne fonctionne pas sur certaines versions de Machin... donc que les utilisateurs de Machin restent toujours avec IE 6 (tiens ben finalement j'en ai parlé).
Oui, il y a des failles dans les logiciels libres, et aussi des bugs, mais je préfère la manière dont c'est géré et pris en compte au niveau des logiciels libres. C'est plus réactif généralement.
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: ce n'est pas si grave
Posté par pasBill pasGates . Évalué à 1.
La version 7 ne fonctionne pas sur Windows 2000, qui doit bien faire dans les 1% de parts de marche je pense.
Bref, avant de sortir une anerie, je suggere de se doter de chiffres...
[^] # Re: ce n'est pas si grave
Posté par Gniarf . Évalué à 1.
1%, comme ces pauvres fous sous Linux et autres saloperies (mais on ne parlera pas des macounets, ça ne se fait pas d'insulter une minorité aussi puissante, forte en gueule et riche en pouvoir d'achat)
c'est amusant, parce que quand ce 1% c'est des handicapés et autres déficients visuels ou moteurs, tout le monde s'en fout moins d'un coup. ou alors ca fait bien semblant de ne plus s'en foutre.
[^] # Re: ce n'est pas si grave
Posté par Zenitram (site web personnel) . Évalué à 4.
Rappelle-moi, on n'avait pas de violentes discussions à propos d'un site qui jetait 80-90% des utilisateurs du web?
Ca me fait bizarre de te voir défendre 1% de la population alors que tu en jette volontiers 80% ailleurs.
c'est amusant, parce que quand ce 1% c'est des handicapés et autres déficients visuels ou moteurs, tout le monde s'en fout moins d'un coup. ou alors ca fait bien semblant de ne plus s'en foutre.
Mmm... Je dirais que ce n'est pas la même chose :
* Windows 2000 est en fin de vie, les handicapés eux c'est toute leur vie.
* Un OS, ça s'upgrage
* Un OS, c'est financièrement dur de le maintenir ad vitam eternam (rapport gain/cout)
* On peut facilement changer de navigateur au pire sans trop de douleur
De plus, c'est un peu l'hopital qui se fout de la charité :
* Windows 2000 date de 1999. 10 ans.
* Les distros genre Ubuntu on une durée de vie de 3 ans maxi (en LTS).
* On est gentil, on va penser au plus longtemps maintenu : RHEL 4 peut avoir Firefox 3? Pas dans les dépôts officiels en tous cas...
A comparer, Microsoft a un support bien plus long que tous les Linux que je connais... Donc pour les 1%, je dirais que c'est plutôt Linux qui dit aux gens "vous pouvez crever", bien plus que Microsoft, et c'est factuel, suffit de regarder les durée de support.
Oui, oui, je sais, Microsoft est le grand méchant, mais vous pourriez quand même éviter les sujets ou Microsoft est meilleur si vous ne voulez pas en entendre parler... Et regardez la durée du support de votre distro pour prendre peur si vous cherchez les comparaisons...
[^] # Re: ce n'est pas si grave
Posté par Gniarf . Évalué à 1.
> Rappelle-moi, on n'avait pas de violentes discussions à propos d'un site qui jetait 80-90% des utilisateurs du web?
> Ca me fait bizarre de te voir défendre 1% de la population alors que tu en jette volontiers 80% ailleurs.
tu te trompes sûrement d'interlocuteur, je me contente de jeter quelques bots pourris qui spamment ou sont vraiment trop mal écrits et du coup font n'importe quoi : tu dois parler d'un certain Jardin Magique qui n'est point mon territoire
je passe sous silence la généralisation classique "tu" -> "vous", je préfère regarder un James Bond déjà vu 12 fois.
sinon tiens je vais raler au sujet des services packs. il est assez faux de dire que XP est supporté si c'est seulement XP SP 3 qui est concerné. car sinon de la même façon, Windows 2000 n'est pas plus vieux que son SP 4. et au passage il n'y a que un an et demi entre 2000 et XP, donc l'argument "lol 10 ans VIEUX!" est assez risible aussi.
[^] # Re: ce n'est pas si grave
Posté par pasBill pasGates . Évalué à 5.
Oh oui c'est vrai quelle horreur, on ne sort pas un soft sur un systeme qui a l'epoque etait vieux de 7 ans, quel crime...
Je rigoles fort en pensant au nombre enorme de softs sous Linux qui ne tournent pas sur une distrib d'il y a 5 ans.
c'est amusant, parce que quand ce 1% c'est des handicapés et autres déficients visuels ou moteurs, tout le monde s'en fout moins d'un coup. ou alors ca fait bien semblant de ne plus s'en foutre.
C'est vrai que ne pas supporter une nouvelle version d'un browser sur un vieil OS c'est vachement similaire a empecher des handicapes d'avoir les memes possibilites que les valides, ca demande clairement d'y mettre le meme effort hein...
Quelle belle hypocrisie quand meme...
[^] # Re: ce n'est pas si grave
Posté par Gniarf . Évalué à 0.
> Oh oui c'est vrai quelle horreur, on ne sort pas un soft sur un systeme qui a l'epoque etait vieux de 7 ans, quel crime...
vous l'avez fait pour XP qui était plus jeune de 18 mois seulement. soit euh 5 ans et demi.
> Je rigoles fort en pensant au nombre enorme de softs sous Linux qui ne tournent pas sur une distrib d'il y a 5 ans.
vérifie bien, je suis l'un des premiers à gueuler contre la versionite aigue et les réactions du genre "quoi ta Mandriva a 7 mois ? mon dieu elle est totalement dépassée, vite il faut tout mettre à jour"
> Quelle belle hypocrisie quand meme...
merci \o/
je maintiens mon point le plus important : dire merde à 1 % de la population, ca fait du monde. des centaines de milliers, des millions de personnes. et, oui, à 0.05 ou 0.01 % je n'aurais pas la même position. quand ce sont des raisons commerciales ou apparement techniques mais en fait bien bidons, oui, je râle à l'exclusion.
[^] # Re: ce n'est pas si grave
Posté par TImaniac (site web personnel) . Évalué à 3.
Dire merde c'est un grand mot, pour pas dire gros :)
Les 1% de 2000 qui restent sont probablement des serveurs en prod et pas des desktops, donc bon IE pour ces utilisateurs, voilà quoi.
Ensuite, ils ont toujours un navigateur dessus hein, la version précédente OK, mais ils en ont un.
Ensuite je ne vois pas ce qui oblige contractuellement MS a fournir une nouvelle version de son navigateur à des vieux OS, bref contractuellement personne ne dit merde à personne.
Enfin rien n'empêche l'utilisateur qui veut vraiment avoir un navigateur récent... d'utiliser un autre navigateur.
Franchement trouves-moi une seule personne qui râle parcqu'il ne peut pas installer IE7 sur son win2000.
Et puis tiens, mais pourquoi parle-t-il de win2000 et pas de win98 SE ou millenimum ? Le raisonnement devrait être strictement identique, voir même beaucoup plus pertinent... Ah si je sais, parcque chez Mozilla le minimum c'est win2000...
[^] # Re: ce n'est pas si grave
Posté par balzane . Évalué à 3.
Heu, en fait, non. Je ne sais pas comment ça se passe dans d'autres grandes entreprises, mais dans « un très grand groupe français de production et fourniture d'électricité », l'OS desktop standard est toujours Win 2k, et tous les portables que j'ai pu y croiser étaient également downgradés en Win 2k. L'ensemble représente plusieurs dizaines de milliers de poste.
Enfin rien n'empêche l'utilisateur qui veut vraiment avoir un navigateur récent... d'utiliser un autre navigateur.
- un compte utilisateurs aux droits (très) resteints
- la charte d'utilisation du SI
[^] # Re: ce n'est pas si grave
Posté par TImaniac (site web personnel) . Évalué à 2.
Merci pour l'info.
- un compte utilisateurs aux droits (très) resteints
- la charte d'utilisation du SI
Oué enfin mettre sur le dos de Microsoft la politique du DSI de l'entreprise, voilà quoi.
Si ca se trouve même si IE7 ou IE8 sortant pour 2000 ces mêmes DSI empêcheraient leur installation, les applications métiers n'ayant été validées que sous IE6.
[^] # Re: ce n'est pas si grave
Posté par mscestdelamerde . Évalué à 1.
J'ai un exemple tres con qui fait que dans mon boulot on est oblige de garder un ordi avec win98 a cause d'un driver pour une machine qui ne fonctionne QUE sous cette version et je peux te dire que l'on pris que la machine tienne longtemps car installer du win98 sur du matos recent on imagine meme pas... Le constructeur ne fournit pas de nouveaux driver.
[^] # Re: ce n'est pas si grave
Posté par TImaniac (site web personnel) . Évalué à 1.
Je n'émet aucune critique, je dis juste que c'est leur responsabilité et pas celle de Microsoft.
tel que les applis metier qui ne fonctionne QUE sous win2K...
Oui c'est un peu ce que j'ai sous-entendu merci.
Le constructeur ne fournit pas de nouveaux driver.
Oué bah oué, c'est la faute du constructeur, pas de Microsoft.
Le constructeur il pourrait faire un driver open-source, même pour Windows.
# Démonstration
Posté par sirrus . Évalué à 6.
Aujourd'hui je suis un petit peu fatigué. Je n'ai pas bcp dormi car j'ai roulé tard et je n'ai pas pu bcp dormir non plus [:benou]. Par conséquent je vais avoir un peu de mal à nuancer mon propos et je ne vais pas faire dans la dentelle (après tout, ça ne semble pas être le genre de moz ni des lecteurs d'ici).
Bref déjà je trouve justement que majoritairement les lecteurs sont débiles. Je n'y peux rien, je ne fais que lire les chiffres (les notations donc)... et malheureusement il n'y a pas que les chiffres, il y a aussi les contenus [:overflu1]. Je préfère encore de loin les légers sursauts de la dictatocratie à la tête du site (viva la revolussione [:pierrot le rouge]) aux démonstrations de bêtise crasse qui accompagnent ce journal qui, comme ça a été déjà dit 42 fois, met en garde contre une faille particulièrement importante et surtout met en garde contre une forme d'imbécilité assez présente dans le monde du ll (sans en rajouter, je trouve et il ne dit pas que la politique de sécurité chez moz vaut celle de chez ms <-- ça ce sont surtout les lecteurs abrutis autour qui se sont montés le bourrichon grâce à un dérèglement hormonal déclenchant une réaction paranoïaque face à un délit idéologique, une sorte d'hystérie mais qui ne touche pas que les femmes).
D'autre part et ça n'a pas de rapport mais j'ai vraiment envie de l'écrire : je trouve que ff devient un peu comme ms. C'est devenu un peu incontournable en raison des avantages qu'il offre notamment du point de vue des extensions. Le problème c'est que c'est une bouse lente et peu réactive. J'aimerais bien en changer mais il est seul à être aussi complet et à avoir autant de gens prêts à faire des extensions par exemple.
Plus ça va, plus on dirait que comme il y a plein d'extensions et que c'est complet, ben la réactivité on s'en fout. Le résultat c'est que js sous ff (même 3.5) c'est totozifiant comparé à la rapidité offerte par konqui, opera, safari... bon en fait tous les navigateurs sauf ff.
Et il serait peut-être temps pour certains de comprendre que cet avis est partagé par de plus en plus de personnes mais j'en demande sûrement trop.
Ce n'est pas avec des oeillères et des idées à la mords moi le noeud (ex : comme c'est libre c'est plus secure) que le logiciel libre progressera. Là pr l'instant dans ce journal ça a touché le fond.
[^] # Re: Démonstration
Posté par thedidouille . Évalué à 1.
Cela dit, j'aimerais bien que tu me montres où Konqui et Opera sont plus rapide en JS que ff 3.5 ? T'as l'air d'un vieux sage, c'est pas ton genre d'écrire juste pour faire l'intéressant.
[^] # Re: Démonstration
Posté par sirrus . Évalué à 2.
Par contre je n'ai effectivement pas besoin de faire l'intéressant car je le suis naturellement. /o\
Pour être sérieux, je suis loin d'être doué en info, ce n'est pas du tout ma spécialité et je n'ai jamais suivi d'enseignement sur le sujet.
Pour répondre à ta question le plus honnêtement, je me base sur du ressenti ce qui peut très bien passer pour subjectif (mais ça m'étonnerait car j'observe la même chose sur différentes machines et sur deux distro différentes à savoir mandriva et debian). Avec ff c'est tout simplement moins fluide, ça peut même friser.
Je peux prendre un exemple "extrême" comme le nouveau client pour tribune onlinecoincoin (ou olc²) [1] écrit en js. Ok, c'est beaucoup de js (en même temps pas trop le choix) mais ff est tt simplement horrible en comparaison de konqui, etc (notamment arora ou aurora je ne sais plus, et safari qui tous les deux sont extrêmement rapides). webkit effect... ? En fixant un maximum de posts historicisés à 2000 et le nombre de tribunes à 8 (je parle toujours de olc²), lors du chargement des histos des tribunes quand on lance olc², ff va friser de longues minutes, konqui une dizaine de secondes pour être assez large, safari ne va presque pas avoir mal. Durant le moulage (c'est à dire quand on discute sur une ou des tribunes), ff frise également par moments, est beaucoup moins réactif, etc.
L'auteur d'olc², l'aimable chrisix<, a bien tenté de chercher dans son code comment améliorer son comportement mais n'y est pas arrivé. En même temps, c'est peut-être sa faute mais comme par hasard, ff3 semble assez seul pour connaître ces problèmes (à moins qu'il faille coder du js spécial ?).
D'autre part tu remarqueras que l'un des objets sinon l'objet principal de ff3.5 était d'accélérer la gestion du js donc il y a bien un souci. Souci toujours présent à mon goût, surtout si la solution proposée pour parer à la faille a pour conséquence de se rapprocher des perfs de 3.0.11.
Je ne cherche pas à tirer à boulets rouges non plus sur le travail accompli autour de ff. Il est fort probablement d'une qualité indéniable mais je ne pourrais pas en dire plus car je ne m'y connais pas assez. Je pointe du doigt une tendance lourde et qui, je trouve, est de plus en plus désagréable dans ce logiciel. Si ff dans ses prochaines releases pouvait résoudre ce problème, je serais la plus heureuse des moules. :)
[1] http://olcc.logicielslibres.info/
[^] # Re: Démonstration
Posté par Jérôme Nègre (site web personnel) . Évalué à 2.
C'est joli, des petites bouclettes.
[^] # Re: Démonstration
Posté par thedidouille . Évalué à 1.
Le seul plus rapide est Chrome. Mais il distance de loin les Arora, Konqueror et Opera (ce n'est peut-être que temporaire).
Cela dit, il se peut que certains plugins plombent les perf. Je pense notamment à Firebug, qui dans certains cas s'active pour toutes les pages que tu consultes. Il y a aussi l'historique, qui peut être démesuré chez certains utilisateurs, ça ralenti pas mal ff (pas seulement lorsque tu rentre une nouvelle URL).
Peut-être que FF est encore lourdingue, il y a certainement du prosélytisme autour de ce projet qui peut-être agaçant (que je trouve plutôt sympathique, parce qu'il y a ça aussi de tous les côtés), mais la tendance est quand même de le rendre plus performant, et c'est perceptible (encore plus sous Linux que sous Windows).
[^] # Re: Démonstration
Posté par mscestdelamerde . Évalué à 2.
Pas de chance pour Mozilla en tout cas, entre un 0-day et une énorme régression dans NSS (a vouloir réinventer la roue, aussi), c'est pas le bon moment pour partir en vacances.
D'ailleurs pour la derniere phrase je suis pas d'accord c'est LE moment de partir en vacances comme ca tu ne te sers pas de ton firefox troue et tu reviens quand tout est regle :)
Pas de bol les vacances sont deja fini, le probleme est corrige... Ils sont pas droles chez mozilla!
[^] # Re: Démonstration
Posté par oao . Évalué à 0.
# La bug d'origine, sans embargo
Posté par ElChinese . Évalué à 1.
[^] # Re: La bug d'origine, sans embargo
Posté par mscestdelamerde . Évalué à 0.
Quand est il de la concurrence? Le bug exploitable et exploite de IE+excel est il corrige?
[^] # Re: La bug d'origine, sans embargo
Posté par Littleboy . Évalué à 2.
Ah bon, il ont sorti un correctif Mozilla?
Au dernieres nouvelles c'est prevu dans la semaine, mais tous les FF 3.5 dans la nature sont vulnerables et doivent toujours desactiver le JIT tant que l'update de Mozilla n'est pas sortie.
http://mozillalinks.org/wp/2009/07/firefox-3-5-1-due-this-we(...)
[^] # Re: La bug d'origine, sans embargo
Posté par mscestdelamerde . Évalué à 0.
DONC C'EST CORRIGE POINT BARRE!
Et la concurrence je peux downloader une version qui a un patch test?
Puisque tu as du mal a lire les pages web jusqu'au bout:
verified FIXED on builds:
...for Shiretoko
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.1pre) Gecko/20090715
Shiretoko/3.5.1pre (.NET CLR 3.5.30729) ID:20090715044728
and
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1pre)
Gecko/20090613 Shiretoko/3.5pre ID:20090613031011
...for trunk
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2a1pre) Gecko/20090714
Minefield/3.6a1pre (.NET CLR 3.5.30729) ID:20090714054201
and
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.2a1pre)
Gecko/20090715 Minefield/3.6a1pre ID:20090715031744
------- Comment #58 From Andreas Gal :gal 2009-07-15 23:15:07 PDT -------
Verified FIXED with MacOSX 3.5.1 candidate build.
[^] # Re: La bug d'origine, sans embargo
Posté par TImaniac (site web personnel) . Évalué à 2.
Le problème c'est pas les personnes inquiètes, celles-là elles ont désactivées le JIT, mais c'est madame michu, qui elle ne sera protégée que quand Mozilla voudra bien pousser la mise à jour officielle.
Bref en attendant c'est toujours la merde.
[^] # Re: La bug d'origine, sans embargo
Posté par mscestdelamerde . Évalué à -1.
[^] # Re: La bug d'origine, sans embargo
Posté par mscestdelamerde . Évalué à 0.
ps: La concurrence en est ou avec son navigateur fantastique que des mechants hackeurs linuxiens s'amusent a casse en balancant des fichiers excel foireux? Toujours pas de patchs... Ah la la, la pauvre madame michu elle est foutu!
# La rapidité de mise à jour ne fait pas tout
Posté par towanda . Évalué à 2.
Firefox est mis à jour très vite suite à une faille, et c'est un argument valable pour dire que les failles ont moins d'impact. Mais il faut aussi penser que dans beaucoup de contextes, les mises à jour ne sont pas faites !
Par exemple chez moi, la seule solution pour mettre à jour Firefox sur mes 1000+ Windows XP, est de le déployer "en entier" (suppression de l'ancien, ajout du nouveau). Ca veut dire qu'à chaque nouvelle version, il faut que je me tape du boulot de test + de déploiement.
En effet, tous mes users ne sont pas admin, donc je ne peux pas leur déléguer, et de toute façon, on ne peut pas se dire "je compte sur mes users pour se mettre à jour".
Le fait de redéployer un soft comme Firefox n'est pas indolore pour mes users : ça bouffe de la cpu et du temps sur chacune de leurs machines, à un moment où eux ne l'auraient pas forcément souhaité. Alors, oui, on a du WakeOnLan pour le faire la nuit sur beaucoup de machine, mais j'ai énormément de portables...
Bref, à chaque nouvelle version de Firefox je pèse le pour et le contre avant de me lancer dans une upgrade massive.
Et ça, c'est sans parler des particuliers qui refusent systématiquement tout popup de mise à jour de peur que ça leur casse quelque chose...
Voilou, en fait je rêve d'un système avec une version majeure tous les ans, et un système où le naviguateur "s'auto patche", au lancement, sans interaction, et sans droit d'admin.
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par GG (site web personnel) . Évalué à 1.
Si les gens ont peur des mises à jours, c'est parce que les patch chez machin ont fait quelques retentissants accidents il y a quelques années (de plus, on voit pas trop ce qui est fait).
Quand à la mise à jour des logiciels, ton problème concerne machin. Sous Linux, ce sera généralement différent, parce que l'on peut combiner plusieurs version, et, l'installation ou la mise à jour d'un logiciel (idem pour les pilotes) se fait de manière bien plus propre et cohérente.
C'est grâce à la Mozilla que l'internet s'est amélioré, et même Chose à été obligé de bosser sur IE (faut dire que le nombre de failles et de bug qui s'accumulaient depuis des années commençait à ressembler à un cancer).
C'est grâce aux logiciels libres que les logiciels proprio se développent, et vice versa. Ensuite, ben, chacun à le choix (plus ou moins).
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par thedude . Évalué à 0.
Oui, clair, ubuntu qui casse x.org lors d'une update, c'est vachement propre et coherent.
Debian qui envoie ssl dans les abimes pendant 2 ans, c'est tres propre aussi.
Mozilla qui fait 2 releases de FF a qq jours d'ecarts parce que le patch etait fait a la truelle, c'est tres classe aussi.
Le kernel n+1 qui pete une partie des drivers qui marchait tres bien dans le kernel n, c'est top moumoute aussi.
Non, le probleme, c'est pas que ca soit libre ou pas.
Quand tu changes qq chose dans un soft, t'as un risque non negligeable de casser quelque chose. Et a plus forte raison quand le soft est un mastodonte style FF.
C'est inherent au concept de mise a jour, et personne ne leur en veut.
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par GG (site web personnel) . Évalué à 0.
Concernant cette foireuse version de Ubuntu, ce n'était QUE xorg qui était impacté, le système était encore fonctionnel, et chacun pouvait revenir à une version antérieure concernant xorg (chez Debian et d'autres Linux, c'est plus facile).
Concernant l'affreuse faille de Debian, la correction n'a pas tardée, et, il a suffit de changer de versions, ou d'appliquer une mise à jour concernant les paquets SSL (tu vois, c'est simple, c'est très ciblé). Bien sur, il à fallu refaire toutes les clefs. Bien sur, maintenant quand on entend parler de failles sur ssh, on reste très attentifs, même sur de simples rumeurs.
Pareil pour Mozilla, ils ont fourni un patch, puis un second, et alors? c'est mieux de corriger ses erreurs que de faire l'autruche comme chez Machin où l'on t'envoie balader sous prétexte que ton OS Machin est trop vieux donc que la version sans le problème fonctionnera pas.
Enfin, pour le kernel, rien ne t'oblige à te servir de celui qui t'es proposé, j'ai bien des serveurs encore en 2.6.26. Comprends que tu as le CHOIX.
Au Royaume Uni, quand les services de sécurité sociale ont appliqués un patch de chez Chose pour Machin, tout le service à été bloqué pendant longtemps, c'était vraiment le merdier. beaucoup d'utilisateurs ont eu ce genre de soucis, depuis ils n'appliquent plus les patch de sécurité. (et, une partie veut aussi pouvoir se servir de son scanner scsi par exemple, de son imprimante qui n'est plus supportée dans la dernière version de machin...)
Je connais beaucoup de gens autours de moi qui ont des pertes de fichiers avec Mots, et plus du tout quand ils utilisent OpenOffice (parfois, c'est la seule solution pour pouvoir continuer à bosser).
Avec le recul, je préfère des failles de temps en temps, mais une réactivité sur la disponibilité des patch. De plus, je sais que les mainteneur chez Debian feront leur travail (le cas SSL a, espérons, servi de leçon).
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par thedude . Évalué à 4.
Bien.
D'accord, le libre a toutes les excuses du monde quand il foire ses updates/patches.
On a meme droit a du grand comique style "debian a rapidement patche sa faille SSL".
C'est vrai quoi, ca a ete rapide, juste 2 ans d'exposition. Et puis revoque puis regenerer toutes les cles, c'est d'un pratique!!!
Pour mozilla, c'est vrai quoi, on release une version et 2 jours apres une nouvelle, c'est pas genant du tout, surtout pour les services d'it qui se sont fait chier a commencer a valider la nouvelle version.
Pis ca fait tres pro le "oups, en fait on s'a gourre, on mal valide notre code".
Evidemment, je prefere qu'ils corrigent l'erreur plutot que de la laisser courir, mais ca reste une bourde, que tu le veuilles ou non.
Quand a xorg, c'est clair que le systeme est vachement utilisable, en ligne de commande, sachant que la cible est justement des gens qui ne savent/veulent pas utiliser la ligne de commande.
Bref, mon point n'etait pas de dire "bouh le libre c'est mal, MS c'est mieux" mais plutot "les bourdes sur les updates, tout le monde en fait, personne n'est a l'abri, c'est inherent au principe d'update correle au fait que l'erreur est humaine" et que donc tirer a boulet rouge sur MS parce qu'ils en ont a leur actifs, c'est franchement pas tres malin, on peut faire pareil pour le libre.
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par oao . Évalué à 1.
C'est comme Vista, tout le monde n'est pas passé dessus du jour au lendemain :p
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par pasBill pasGates . Évalué à 1.
Allez on va rire, donne moi un exemple ou on a fait cela, et ou notre duree de support etait moindre que les distrib Linux ou Mozilla.
Au Royaume Uni, quand les services de sécurité sociale ont appliqués un patch de chez Chose pour Machin, tout le service à été bloqué pendant longtemps, c'était vraiment le merdier.
Sources ?
Avec le recul, je préfère des failles de temps en temps, mais une réactivité sur la disponibilité des patch. De plus, je sais que les mainteneur chez Debian feront leur travail (le cas SSL a, espérons, servi de leçon).
Il est assez clair que tu ne sais absolument pas de quoi tu parles, une distrib qui sort des patchs en qqe jours n'a clairement pas fait son travail, parce que faire les tests de regressions sur un composant non-trivial ca prend des jours, pas des heures, le temps d'ausculter le composant pour trouver les failles similaires, ca prend des jours aussi, pas des heures, au final, sortir un patch en qqe jours c'est un signe assez clair que le boulot n'a pas ete fait.
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par Ph Husson (site web personnel) . Évalué à 2.
Sources ?
C'était un bogue au niveau des OEM... (qui déclaraient les CPU AMD comme Intel (ou le contraire?), et une mise à jour Intel a rajouté des trucs spécifiques Intel, et pouf)
Donc mauvaise exemple.
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par GG (site web personnel) . Évalué à 0.
A bientôt
Grégoire
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par Littleboy . Évalué à 1.
Tsk tsk, vu que c'est du LL, c'est forcement mieux et donc pas besoin de tester autant de toute facon...
Oh, wait...
http://mozillalinks.org/wp/2009/07/mozilla-confirms-new-secu(...)
[^] # Re: La rapidité de mise à jour ne fait pas tout
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Vivent les systèmes massivement NFS avec CacheFS.
# Rironé
Posté par Obsidian . Évalué à 5.
Hmm. Un petit lien, peut-être, pour étayer tes propos ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.