> je rebondissais sur ton message a partir de la derniere phrase, sur le fait que
> tu concluais que Linux etait forcement plus secure que Windows.
Pas du tout, je disais le fait qu'il y ai moins d'attaques sur des serveurs Linux,. Et ça, c'est un fait. Je ne parle pas de vulnérabilité, mais d'attaques réussies concrêtement.
Et si tu relis mon post, tu verras que je ne donne pas d'arguments, mais des facteurs qui rentrent en compte, avec quelques exemples pour que les gens comprennent.
Bon, je te plussoie quand même en gage de bonne foie :-)
> on compare 2 produits sur leurs DEFAUTS, et pas leurs QUALITES.
Ben, quand on parle de sécurité, c'est quand même les failles de sécurités qui sont les plus importantes. Ca ne fait pas tout, mais quand même ...
> Quand je signale un lien d'une ML concernant les probleme d'OpenSSH, d'une
> personne a subit des attaques a cause des bugs d'OpenSSH, bah c'est du FUD.
J'ai dit ou que tu faisais du FUD ?
> Ca, c'est du FUD aussi. Bah oui, ca peut pas etre vrai, linux moins secure que windows, allons.
J'ai dit ou le contraire ? Je re-cite mon propre message, vu que visiblement, tu ne l'as pas lu :
il faut arreter de croire que Linux est 100% secure quoi qu'il arrive.
> faudrait arreter les "FUD" des qu'on tape sur linux, et avancer des vrais arguments contre ces critiques.
Tu peux me citer un passage de mon message que tu considères comme du FUD, qu'on y voit plus clair ?
Peut être "Si on regarde tous ces points, on explique sans problème le fait qu'il y ai moins d'attaques sur des serveurs Linux,".
Bah, oui, le fait est que SQL Slammer, Blaster, SVEN, I LOVE YOU, etc, on n'en a pas encore eu beaucoup sous Linux. Je voulais insister sur le fait que le nombre d'attaque n'est pas directement lié à la sécurisation d'un OS. En bref, on disait la même chose, et tu t'en serais rendu compte si tu avais lu mon message.
Ben oui, savoir si un système est plus sécurisé qu'un autre est plus compliqué qu'il n'y parrait. Pour faire une liste non exhaustive des facteurs qui rentrent en compte :
* Nombre total de faille (inconnu, par définition)
* Quantité de failles corrigées, et temps mis pour les corriger. (Ca, c'est facile à mesurer, et c'est là dessus que MS cible son attaque.)
* Nombre de services activés par défaut.
* Nombre d'exploit pour une faille (Sur ce point, MS part avec un gros handicap), qui dépends de pleins de choses :
- Réputation de l'éditeur
- Niveau de challenge pour un cracker. Par exemple, NT4 est de moins en moins attaqué, tout simplement parce qu'il n'y a plus trop de gloire pour un cracker à le faire. Cracker un W2000, voire W2003, c'est plus /in/.
- Les possibilités de devenir célèbre avec des connaissances en informatiques. Sous Windows, si tu trouves une faille, tu as plus de chance de devenir célèbre en écrivant un virus qu'un patch. Sous Linux, si le but est de devenir célèbre, tu peux devenir un contributeur actif et faire parler de toi. C'est bête, mais c'est souvent comme ça que commencent les histoires de vers ou virus. Que ce serait-il passé si Torvalds avait décidé d'écrire un virus à la place d'un kernel open source ?
* Temps que mettent les utilisateurs à patcher. Par exemple, un système pour particulier sera souvent plus facile à attaquer qu'un système pour entreprise, simplement parce qu'en entreprise, il y a un admin qui est payé pour mettre à jour, alors que chez les particuliers, il y a des vers qui utilisent des failles corrigées depuis 2 ans et qui marchent du tonnerre !
* Compétences des utilisateurs pour protéger leur système. Ne serait-ce que cliquer sur la case "Clique ici, c'est pour ton bien, je vais mettre un firewall" est déjà trop compliqué pour beaucoup de gens.
Si on regarde tous ces points, on explique sans problème le fait qu'il y ai moins d'attaques sur des serveurs Linux, mais il faut arreter de croire que Linux est 100% secure quoi qu'il arrive.
(Attention, je ne suis pas en train de dire du mal de mutt ! Pour l'avoir utilisé pendant plusieurs mois, je peux confirmer que c'est un logiciel très bien écrit et très robuste, mais bon, j'en ai un peu marre des idées reçues "Linux = 100% sécurisé et Windows = 100% pas sécurisé." La réalité est un peu plus compliquée.)
("Oui, mais bon, nous, c'est pas pareil, on n'est pas devant notre machine toute la journée"
"Ah, oui, on pourrait, mais c'est trop compliqué, faut que je me remette la dedans, voir comment ça marche, ...")
Quand même, ça serait pas plus simple que l'installeur de XP propose directement de créer un utilisateur non privilégié, et qu'ensuite, l'écran de log mette un Warning de 3km de haut quand on essaye de se logger en temps que root ?
J'ai dit que le fait d'avoir patché ton apache ne garantissait pas à 100% qu'il n'y ai pas une faille exploitable dedans.
Donc, si tu veux sécuriser ton serveur, plutôt que d'avoir un apache pour lequel tu n'est pas sur qu'il n'y ai pas de faille, et un kernel pour lequel tu es sur qu'il y en ai une, autant patcher ton kernel. C'est pas cher et ça peut rapporter gros.
Y'a pas un équivalent de http://www.debian.org/distrib/packages(...) pour Mandrake quelque part ? Je trouve pas ... (cad : un site web qui donne la liste des packages et des fonctionalités de recherche sans avoir la distrib sous la main.)
> Pour programmer: 2 frames d'emacs et un terminal visibles en meme temps.
> Si si, c'est possible en 1024x768 (c'etait possible il y a quelques annees,
> pas de raisons pour que ca aie change...)
Je dirais même plus : Un Emacs en plein écran, et utiliser term.el pour émuler le terminal.
Moi aussi, je trouvais que les interfaces fenêtrées, ca suX, mais il suffit d'avoir des applis en plein écran.
> Pour le desktop, demandes toi ce que Sun a a perdre sur le marche desktop,
> reponse : rien vu qu'il n'est pas present sur le desktop,
Et l'inscription "SUN" qu'il y a sur ma station de travail, c'est la marque de lessive ? ;-)
Bien sur, il y a peu de stations SUN chez les secrétaires, mais des SUN comme poste de travail, et avec des gens qui font de la bureautique dessus (Il y a quelques années, la seule solution était de lancer un metaframe ou équivalent), il y en a.
> Les menus transparents et les fenêtres ombrées c'est deja possible,
Oui, avec un vieux hack qui bouffe justement pas mal de ressources.
> Alors s'amuser à alourdir considérablement l'interface graphique de nos systèmes
Justement, en faisant de la transparence une primitive X, tu évites le vieux hack, et tu rends pleins d'optimisations possibles.
En particulier, la gestion d'un cache pourrait à mon avis optimiser radicalement la consommation de la bande passante dans le cas d'une utilisation distante.
Si il n'y a pas les parenthèses autour, oui. gcc -Wall trouve du premier coup.
Seulement, là, il a bien mis les bonnes parenthèses pour éviter le warning, donc, les "bons outils" dont tu parle, ils se disent "Ouh la la, ça craint !!! ... Ah, non, il me fait signe qu'il a fait exprès."
Si tu fais un outil qui donne un warning dès qu'il trouve une affectation dans un if, tu vas avoir des centaines de warnings sur un gros programme en C, vu que c'est une pratique assez courrante, genre
Ce genre d'outils est très efficace pour trouver des fautes d'inattention (déjà, compilez avec -Wall -Werror, ça limite vachement la casse), mais contre une backdoor volontaire, tu ne peux pas faire grand chose.
Tu utilise une des multiples failles de sécurités présente sur le serveur pour t'introduire dessus (c'est difficile, mais cite moi un système impiratable -- troll : à part OpenBSD ...).
Ensuite, tu as toute la base, en clair, à porté de la main.
Si on suppose que ce n'est pas possible, alors par exemple, quelle est l'utilité de hasher les mots de passes dans /etc/shadow ?
Mais ca risque d'être compliqué à mettre en oeuvre. Sachant que le but à la base, c'est de faire ça pour un newbie, donc lui demander d'installer un module dans son kernel, ...
Ben, oui, mais ce que je veux savoir, c'est comment on peut graver avec un graveur IDE et sans ide-scsi. Je suppose qu'il faut que cdrecord & cie gèrent les graveurs IDE. Comment ça marche ? Et d'ailleurs, est-ce possible sur un noyau 2.4 (histoire d'essayer avant de faire le grand pas.) ?
[^] # Re: Microsoft prépare un "assaut de sécurité" public sur Linux
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Microsoft prépare un "assaut de sécurité" public sur Linux. Évalué à 2.
> tu concluais que Linux etait forcement plus secure que Windows.
Pas du tout, je disais le fait qu'il y ai moins d'attaques sur des serveurs Linux,. Et ça, c'est un fait. Je ne parle pas de vulnérabilité, mais d'attaques réussies concrêtement.
Et si tu relis mon post, tu verras que je ne donne pas d'arguments, mais des facteurs qui rentrent en compte, avec quelques exemples pour que les gens comprennent.
Bon, je te plussoie quand même en gage de bonne foie :-)
[^] # Re: Microsoft prépare un "assaut de sécurité" public sur Linux
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Microsoft prépare un "assaut de sécurité" public sur Linux. Évalué à 1.
Ben, quand on parle de sécurité, c'est quand même les failles de sécurités qui sont les plus importantes. Ca ne fait pas tout, mais quand même ...
> Quand je signale un lien d'une ML concernant les probleme d'OpenSSH, d'une
> personne a subit des attaques a cause des bugs d'OpenSSH, bah c'est du FUD.
J'ai dit ou que tu faisais du FUD ?
> Ca, c'est du FUD aussi. Bah oui, ca peut pas etre vrai, linux moins secure que windows, allons.
J'ai dit ou le contraire ? Je re-cite mon propre message, vu que visiblement, tu ne l'as pas lu :
il faut arreter de croire que Linux est 100% secure quoi qu'il arrive.
> faudrait arreter les "FUD" des qu'on tape sur linux, et avancer des vrais arguments contre ces critiques.
Tu peux me citer un passage de mon message que tu considères comme du FUD, qu'on y voit plus clair ?
Peut être "Si on regarde tous ces points, on explique sans problème le fait qu'il y ai moins d'attaques sur des serveurs Linux,".
Bah, oui, le fait est que SQL Slammer, Blaster, SVEN, I LOVE YOU, etc, on n'en a pas encore eu beaucoup sous Linux. Je voulais insister sur le fait que le nombre d'attaque n'est pas directement lié à la sécurisation d'un OS. En bref, on disait la même chose, et tu t'en serais rendu compte si tu avais lu mon message.
[^] # Re: Microsoft prépare un "assaut de sécurité" public sur Linux
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Microsoft prépare un "assaut de sécurité" public sur Linux. Évalué à 3.
* Nombre total de faille (inconnu, par définition)
* Quantité de failles corrigées, et temps mis pour les corriger. (Ca, c'est facile à mesurer, et c'est là dessus que MS cible son attaque.)
* Nombre de services activés par défaut.
* Nombre d'exploit pour une faille (Sur ce point, MS part avec un gros handicap), qui dépends de pleins de choses :
- Réputation de l'éditeur
- Niveau de challenge pour un cracker. Par exemple, NT4 est de moins en moins attaqué, tout simplement parce qu'il n'y a plus trop de gloire pour un cracker à le faire. Cracker un W2000, voire W2003, c'est plus /in/.
- Les possibilités de devenir célèbre avec des connaissances en informatiques. Sous Windows, si tu trouves une faille, tu as plus de chance de devenir célèbre en écrivant un virus qu'un patch. Sous Linux, si le but est de devenir célèbre, tu peux devenir un contributeur actif et faire parler de toi. C'est bête, mais c'est souvent comme ça que commencent les histoires de vers ou virus. Que ce serait-il passé si Torvalds avait décidé d'écrire un virus à la place d'un kernel open source ?
* Temps que mettent les utilisateurs à patcher. Par exemple, un système pour particulier sera souvent plus facile à attaquer qu'un système pour entreprise, simplement parce qu'en entreprise, il y a un admin qui est payé pour mettre à jour, alors que chez les particuliers, il y a des vers qui utilisent des failles corrigées depuis 2 ans et qui marchent du tonnerre !
* Compétences des utilisateurs pour protéger leur système. Ne serait-ce que cliquer sur la case "Clique ici, c'est pour ton bien, je vais mettre un firewall" est déjà trop compliqué pour beaucoup de gens.
Si on regarde tous ces points, on explique sans problème le fait qu'il y ai moins d'attaques sur des serveurs Linux, mais il faut arreter de croire que Linux est 100% secure quoi qu'il arrive.
[^] # Re: Délais de release ..
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Microsoft prépare un "assaut de sécurité" public sur Linux. Évalué à 3.
http://www.certa.ssi.gouv.fr/site/CERTA-2002-AVI-004/(...)
(Attention, je ne suis pas en train de dire du mal de mutt ! Pour l'avoir utilisé pendant plusieurs mois, je peux confirmer que c'est un logiciel très bien écrit et très robuste, mais bon, j'en ai un peu marre des idées reçues "Linux = 100% sécurisé et Windows = 100% pas sécurisé." La réalité est un peu plus compliquée.)
[^] # Re: Délais de release ..
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Microsoft prépare un "assaut de sécurité" public sur Linux. Évalué à 1.
Moi, j'ai pas réussi :-(
("Oui, mais bon, nous, c'est pas pareil, on n'est pas devant notre machine toute la journée"
"Ah, oui, on pourrait, mais c'est trop compliqué, faut que je me remette la dedans, voir comment ça marche, ...")
Quand même, ça serait pas plus simple que l'installeur de XP propose directement de créer un utilisateur non privilégié, et qu'ensuite, l'écran de log mette un Warning de 3km de haut quand on essaye de se logger en temps que root ?
[^] # Re: Délais de release ..
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Microsoft prépare un "assaut de sécurité" public sur Linux. Évalué à 1.
Tiens, mutt
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-055/index.html.2.h(...)
et pine
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-150/(...)
sont faits par Microsoft maintenant ?
[^] # Re: Framasoft propose d'un seul coup d'oeil plus de deux cents logiciels libres linux/windows
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Framasoft propose d'un seul coup d'oeil plus de deux cents logiciels libres linux/windows. Évalué à 9.
Et également
http://theopencd.sunsite.dk/(...)
(Ca serait bien de rajouter les liens dans la dépèche ...)
[^] # Re: Un nouveau serveur X avec la transparence !
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Un nouveau serveur X avec la transparence !. Évalué à 1.
J'ai dit que le fait d'avoir patché ton apache ne garantissait pas à 100% qu'il n'y ai pas une faille exploitable dedans.
Donc, si tu veux sécuriser ton serveur, plutôt que d'avoir un apache pour lequel tu n'est pas sur qu'il n'y ai pas de faille, et un kernel pour lequel tu es sur qu'il y en ai une, autant patcher ton kernel. C'est pas cher et ça peut rapporter gros.
Les patchs, c'est bon, mangez-en !
# Re: Les ISO de la Mandrake 9.2 finale sont disponibles
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Les ISO de la Mandrake 9.2 finale sont disponibles. Évalué à 1.
Y'a pas un équivalent de http://www.debian.org/distrib/packages(...) pour Mandrake quelque part ? Je trouve pas ... (cad : un site web qui donne la liste des packages et des fonctionalités de recherche sans avoir la distrib sous la main.)
[^] # Re: Un nouveau serveur X avec la transparence !
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Un nouveau serveur X avec la transparence !. Évalué à 0.
Et le jour ou un pirate trouve une faille mais qu'il ne publie pas l'exploit, il est root chez toi alors que ton système est à jour.
[^] # Re: La transparence, ça vous gonfle pas ?
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Un nouveau serveur X avec la transparence !. Évalué à 1.
> Si si, c'est possible en 1024x768 (c'etait possible il y a quelques annees,
> pas de raisons pour que ca aie change...)
Je dirais même plus : Un Emacs en plein écran, et utiliser term.el pour émuler le terminal.
Moi aussi, je trouvais que les interfaces fenêtrées, ca suX, mais il suffit d'avoir des applis en plein écran.
[^] # Re: SCO vous paye pour quitter GNU/Linux
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche SCO vous paye pour quitter GNU/Linux. Évalué à 1.
> reponse : rien vu qu'il n'est pas present sur le desktop,
Et l'inscription "SUN" qu'il y a sur ma station de travail, c'est la marque de lessive ? ;-)
Bien sur, il y a peu de stations SUN chez les secrétaires, mais des SUN comme poste de travail, et avec des gens qui font de la bureautique dessus (Il y a quelques années, la seule solution était de lancer un metaframe ou équivalent), il y en a.
Donc, s/rien/pas beaucoup/.
[^] # Re: La transparence, ça vous gonfle pas ?
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Un nouveau serveur X avec la transparence !. Évalué à 1.
Avec les menus à la Gtk qui peuvent se détacher et devenir une fenêtre a part entière, ça peut devenir vraiment util.
[^] # Re: La transparence, ça vous gonfle pas ?
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Un nouveau serveur X avec la transparence !. Évalué à 3.
Oui, avec un vieux hack qui bouffe justement pas mal de ressources.
> Alors s'amuser à alourdir considérablement l'interface graphique de nos systèmes
Justement, en faisant de la transparence une primitive X, tu évites le vieux hack, et tu rends pleins d'optimisations possibles.
En particulier, la gestion d'un cache pourrait à mon avis optimiser radicalement la consommation de la bande passante dans le cas d'une utilisation distante.
# Re: NeoOffice/J 0.7
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche NeoOffice/J 0.7. Évalué à 4.
Je ne trouve pas ça si évident, vu que OOo est sous double licence LGPL/Sun-je-sais-plus-quoi.
D'ailleurs, dans la FAQ, le type dit qu'il pourra repasser certaines portions sous LGPL, mais je doute que ce soit possible ...
[^] # Re: Tentative d'insertion d'une backdoor dans le noyau Linux
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Tentative d'insertion d'une porte dérobée dans le noyau Linux. Évalué à 9.
Seulement, là, il a bien mis les bonnes parenthèses pour éviter le warning, donc, les "bons outils" dont tu parle, ils se disent "Ouh la la, ça craint !!! ... Ah, non, il me fait signe qu'il a fait exprès."
Si tu fais un outil qui donne un warning dès qu'il trouve une affectation dans un if, tu vas avoir des centaines de warnings sur un gros programme en C, vu que c'est une pratique assez courrante, genre
if ((x = next_value())) {
...
}
Tiens, j'en ai une dans un exemple de la libc :
http://www.gnu.org/software/libc/manual/html_node/Example-of-Getopt(...)
Ce genre d'outils est très efficace pour trouver des fautes d'inattention (déjà, compilez avec -Wall -Werror, ça limite vachement la casse), mais contre une backdoor volontaire, tu ne peux pas faire grand chose.
[^] # Re: Sauvegarde incrémentale sur CD : Je l'ai fait !
Posté par Matthieu Moy (site web personnel) . En réponse au journal Sauvegarde incrémentale sur CD : Je l'ai fait !. Évalué à 1.
Je me réponds à moi même : En fait, si, c'est possible. Ca change pas mal de chose en fait. ^_^
[^] # Re: Tentative d'insertion d'une backdoor dans le noyau Linux
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Tentative d'insertion d'une porte dérobée dans le noyau Linux. Évalué à 10.
Non. Pas avec les parenthèses autour.
[^] # Re: Fedora Core 1 [Yarrow] est disponible
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Fedora Core 1 [Yarrow] est disponible. Évalué à 3.
Ah, ces égoïstes chez RedHat ...
"The Fedora Project is a *Red-Hat-sponsored* [...] open source project."
Ah, non, pas tant que ça, tiens !
[^] # Re: Fedora Core 1 [Cambridge] est disponible
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Fedora Core 1 [Yarrow] est disponible. Évalué à 3.
J'ai déjà eu le cas typique :
- J'arrive pas à copier un fichier sur une disquette (sous KDE)
- Bah, tu as une icone disquette sur le bureau, non ?
- Oui, j'arrive à lire des fichiers, mais pas à écrire dessus.
- Bah, fait glisser le fichier que tu veux sur l'icone, ça marche pas ?
- Ah si, j'y avais pas pensé ...
Parce que la personne était habituée à l'explorateur Windows, avec "poste de travail" à la racine, et "a:" juste en dessous.
[^] # Re: sha2
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Correction d'un problème de sécurité sur TuxFamily. Évalué à 1.
Tu utilise une des multiples failles de sécurités présente sur le serveur pour t'introduire dessus (c'est difficile, mais cite moi un système impiratable -- troll : à part OpenBSD ...).
Ensuite, tu as toute la base, en clair, à porté de la main.
Si on suppose que ce n'est pas possible, alors par exemple, quelle est l'utilité de hasher les mots de passes dans /etc/shadow ?
[^] # Re: Sauvegarde incrémentale sur CD : Je l'ai fait !
Posté par Matthieu Moy (site web personnel) . En réponse au journal Sauvegarde incrémentale sur CD : Je l'ai fait !. Évalué à 1.
Mais ca risque d'être compliqué à mettre en oeuvre. Sachant que le but à la base, c'est de faire ça pour un newbie, donc lui demander d'installer un module dans son kernel, ...
[^] # Re: Graveur de CD IDE
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Noyau 2.6 - revue de presse électronique. Évalué à 0.
# Graveur de CD IDE
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Noyau 2.6 - revue de presse électronique. Évalué à 5.
Visiblement, le support ide-scsi était cassé. Est-il réparé ? Y a-t-il une autre solution ?
[^] # Re: Le C2i cite de nombreux logiciels libres !
Posté par Matthieu Moy (site web personnel) . En réponse à la dépêche Le C2i cite de nombreux logiciels libres !. Évalué à 1.