pasBill pasGates a écrit 16197 commentaires

Ah oui tiens, c'est original, ils ont repris des trucs d'OS/2 (lesquels au fait ?), un OS qu'ils ont developpe en commun avec IBM.

me rappelent que Microsoft utilisait il y a pas si longtemps la fermeture de leur source comme un argument de sécurité. Ce n'est pas compter sur la sécurité par l'obscurité ?

Ne pas melanger l'opinion d'un developpeur et de sa boite, c'est 2 choses differentes

et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.

Ben il y a des trucs qu'on n'a pas le droit de reveler, et d'autres qui sont dispo publiquement, suffit de chercher ce qui s'est dit pendant le PDC, les docs sur microsoft.com,...

je ne trouve pas ca rassurant, surtout si ils reprennent la couche réseau du SP2. Pour les utilisateurs de XP dans notre réseau, l'installation de SP2 a posé de gros problèmes, le mieux étant que pour deux ordinateurs identiques (celui proposé par l'école), les effets étaient différents. Outre les programmes ne fonctionnant pas, et le firewall qui bloquait tout, il y'avait aussi un truc super chiant : l'update modifiait plein d'options de configuration.

Ben que le firewall bloque tout c'est normal. Un systeme sur commence par tout bloquer par defaut, et tu debloques ce dont tu as besoin, ca s'appelle reduire la surface d'attaque.

Quand aux problemes, j'aimerais bien que tu detailles un peu plus, quels types de problemes ?

Pour Longhorn, perso je trouves tout a fait normal que les gens doutent jusqu'a ce qu'ils l'aient devant les yeux, mais sachant ce que je sais, je suis assez d'accord avec lui.

Ce que t'as du mal a comprendre c'est que les grosses boites n'achetent pas 200'000 XP juste parce que la pub a la TV est jolie, ils l'achetent car XP fait ce qu'ils veulent, et c'est de cette maniere que le produit est developpe. Siemens ne s'est pas retrouve avec plus de 350'000 machines sous XP apres que le PDG ait vu la pub.

On va jeter un oeil sur ce que les gens veulent, ce que la plupart veulent sera inclus dans l'OS(si c'est faisable, on est pas magicien non plus), et on ajoutera des elements qui selon nous peuvent creer de nouvelles debouchees, etc...

Croire que Windows se vend juste grace a la communication c'est se fourrer le doigt dans l'oeil hyper profond et refuser de voir la verite en face. La pub ca joue, mais c'est loin d'etre suffisant pour vendre un produit.

Tu peux utiliser EA/B/C/DX sans aucun probleme sans etre en mode protege.

Si t'as un compte avec acces root, t'edites le fichier shadow et tu vires/change le mot de passe.

Si t'as pas acces, tu bootes sur un autre CD, tu montes la partition / et tu fais de meme.

Un ; n'est rien d'autre qu'un separateur en C, on peut en mettre 20'000 a la suite si on veut et a peu pres partout aussi.

{...};;

C'est equivalent a

{...}
<instruction vide>
;
<instruction vide>
;

Bref, du C parfaitement valide.

« c'est juste une histoire de code ecrit de maniere defensive ou pas. »

Vu toutes les techniques différentes qui font planter IE avec du code valide ou invalide, ça n'est apparement pas de cette manière qu'est écrit IE.

Eh hop, encore un petit delire pour mettre IE et MS dedans.

T'as une obsession la dessus mon pauvre, faudrait penser a aller voir un psy.

Toi devoir utiliser un filesystem avec des ACLs et faire tourner un serveur ftp standard, et c'est tout

Comme ca toi pouvoir definir tres precisement qui accede a quoi, de maniere bcp plus fine que les droits Unix habituels

MySQL a rien a faire la dedans en passant.

Le hic c'est que les gens croient que le popup vient de citibank.com apres qu'ils aient ouvert le tab(car ils verront le site citibank avec un popup par dessus) alors qu'il vient de secunia, resultat tu fais un dialogue qui demande le nom / mot de passe et pouf, l'utilisateur moyen se fait avoir.

C'est amusant, toujours a mettre le focus sur la partie qui t'obsede, ou me vois tu protester que les gens pensent l'inverse ?

Mon post expliquait simplement qu'un browser qui n'affiche que du code valide w3c ne doit pas pour autant crasher quand il recoit du code invalide, et qu'afficher du code invalide n'avait rien a voir avec le fait d'etre plus solide de ce cote la, c'est juste une histoire de code ecrit de maniere defensive ou pas. Maintenant pour je ne sais quelle raison tu pars dans un trip MS encore une fois.

Sauf que le SP2 a été, pour une fois, compilé avec le minimum e tolérance à l'exécution... en virant sûerment quelques compatibilités propres à MS qui doivent faire chier de nombreux "webmestres" qui étaient, y'a 4 ans, spécialisés dans les sites "MSIE only".

Non, rien dans le parsing du HTML n'a change dans SP2(a part peut-etre des bug fixes, mais il parse le meme HTML qu'avant).

La difference ici entre IE et les autres, c'est qu'IE ne *crashe* pas. Il va peut-etre afficher le HTML, peut-etre pas, mais dans tous les cas testes il ne crashe pas/gonfle en RAM/..., il va jetter l'eponge si le HTML est trop bordelique mais c'est tout, alors que les autres browsers ont semble-t-il des problemes a traiter du HTML invalide sans planter.
Mozilla/Opera/... est libre de rejeter tout ce qui est non conforme w3c, mais il ne devrait pas crasher pour autant, il devrait afficher une page d'erreur/blanche/autre

Et qu'est ce qui te dit qu'un plantage n'est pas du a une faille de securite ?

Le premier symptome d'un buffer overflow ou stack overflow, c'est le plantage du soft. Ensuite, tu tires avantage de l'overflow pour qu'au lieu de planter, le soft fasse ce que tu veux.

Faut arreter de croire qu'une faille de securite c'est autre chose qu'un plantage, dans bcp de cas un plantage _est le signe_ d'une faille de securite.

D'ou l'usage du mot *potentiellement* dans ma phrase

Ben quand j'ai lu pas de vraies failles de sécurité qui ont des conséquences plus graves, j'en ai conclu que La grande question est donc: les bugs qu'il a découvert peuvent-ils être utilisés "intelligemment" ne signifiait pas "buffer overflow", sinon la 1ere phrase n'aurait pas de sens vu qu'un buffer overflow a la lecture d'une page c'est une vraie faille de securite aux consequences graves. Je croyais que tu faisais reference a d'autres techniques genre cross-frame, etc...

Mais bon, une remarque quand même, le monsieur parle de sécurité, mais il n'a trouvé que des bugs qui font planter les navigateurs, pas de vraies failles de sécurité qui ont des conséquences plus graves, comme on en voit régulièrement sur IE.

Ca tu n'en sais rien, faut analyser ce qu'il a trouve comme faille.

Perso, quand je vois que Mozilla *crashe*, ca veut dire qu'il y a probablement eu un acces memoire non autorise, bref, potentiellement un buffer overflow.

C'est ca que les gens qui utilisent Mozilla regulierement ont un peu de mal a comprendre, si ils surfent sur un site et que Mozilla plante, c'est un bug oui, mais potentiellement c'est aussi une faille de securite selon le type de crash(et c'est valable pour IE aussi donc)

Larry Osterman bosse chez MS depuis DOS 4.

Larry Osterman est le gars qui a mis un lien sur l'article BugTraq dans son blog.

L'auteur de l'article sur BugTraq n'est pas Larry Osterman.

Ben il est baleze le gars, parce que : http://lcamtuf.coredump.cx/(...)

Il a 23 ans, si il a commence a bosser chez MS lors de DOS 4, il avait alors moins de 10 ans quand ils l'ont engage...

Et d'ou sors tu cette info comme quoi ce serait un ancien employe ?

Le gars ne bosse pas pour MS.

qd j'aurais plus de temps pour moi, que je me serais former dans la conception d'un noyau ou d'une VM et que j'aurais avec moi un certain nombres de volontaires enthousiastes :)

Ben justement, une fois que t'auras ete forme a la conception d'un noyau, t'auras plus envie de le faire en oriente objet, tu te rendras compte a quel point les besoins en perfs, taille,... d'un noyau sont incompatibles avec l'approche objet.
Tu pourrais faire un noyau "concept" qui marcherait et serait tres joli, mais il serait tres tres loin de ce qui existe aujourd'hui niveau perfs et personne ne l'utiliserait.

Ca c'etait sur les Itanium 1, qui ont du se vendre a genre 3000 exemplaires et dont la production a tres vite cesse, les Itanium 2 qui sont les seuls Itanium dispo a la vente n'ont plus rien qui emule le x86.

Il n'y a _AUCUNE_ emulation x86 par Itanium.

Il y a des instructions facilitant la chose, mais tu ne peux pas faire tourner un soft x86 sur Itanium sans autres.

Sous Windows ca ne cassait justement pas la compatibilite, il y avait une emulation x86 pour permettre aux softs existants de tourner.

J'inpute la réponsabilité du relatif échec de l'itanium à Windows.

Et pourquoi donc ?

Le monsier est toujours chez MS, et c'est d'ailleurs une legende le gars, il y a peu de gens qui connaissent Win32 comme lui sur cette planete.

http://weblogs.asp.net/oldnewthing/(...) pour plus d'infos sur le monsieur