pasBill pasGates a écrit 16169 commentaires

Avec le fuzzing justement pas non, car le resultat est habituellement un crash, c'est facile a voir :)

A mon avis d'ailleurs Codenomicon n'a probablement pas trouve ce bug en faisant tourner leur fuzzer, mais plutot de maniere manuelle( a mon avis ils etaient en train de regarder des captures de traffic ssl pendant du developpement/test de leur fuzzer et ils ont vu qqe chose de bizarre dans le paquet, ils ont gratte un peu plus et on vu), car il n'est pas aise de detecter un info leak.

Ben ca depend du point de vue.

Chaque utilisateur ne sera pas exclusivement OpenSSL ou GnuTLS (ou autre). Selon le soft il sera l'un ou l'autre, selon le service qu'il utilise en ligne, ce sera l'un ou l'autre sur le serveur.

L'utilisateur se retrouvera lui-meme en partie avec une lib, en partie avec une autre.

Donc oui, tu multiplies la surface d'attaque, car tu peux attaquer l'utilisateur a travers 2 libs maintenant, et en meme temps tu reduis l'impact d'une attaque car seuls les softs/services utilisant la lib vulnerable sont touches.

Non, par contre je connais certains des developpeurs/program manager/testeurs de SecureBoot, je sais comment les features sont amenees et developpees en interne, et je connais personnellement les 3/4 du groupe ou la bourde du browser-choice est arrivee, car c'est l'equipe ou j'ai passe 10 ans.

Tu crois qu'il s'est passe quoi ? Steve Ballmer est alle changer le code a la mano pour que le pop-up n'apparaisse pas sans que les developpeurs s'en rendent compte ? Tu crois qu'il a raconte des serenades a des developpeurs en leur disant "non non, change cette ligne, elle sert a rien" ? Qu'il a file $200'000 au dev et au testeur pour qu'ils le fassent ?

Faut franchement arreter d'halluciner et revenir sur terre. Non seulement les employes 'en bas' auraient saute au plafond, mais meme ceux du haut savent tres bien que faire cela ne vaut pas les 700 ou 800 millions d'amende. Ca a rapporte quoi a MS au final ? Rien, allez, on va dire qu'ils ont garde 2 ou 3% de parts de marche web en plus, super !

C'est la ou il est bon de comprendre de quoi on parle plutot que vite reposter un article…

Voila le produit dont on parle : https://scan.coverity.com/

C'est un service , il faut uploader ton code source pour qu'il soit analyse.

Aucune boite ayant du code 'important' (= la ou ils font attention a la qualite) ne va le passer la dedans car cela revient a poser les bijoux de la couronne chez une partie tierce. Ils vont plutot utiliser http://www.coverity.com/products/coverity-save/ qui est un produit installable en interne, et qui ne donne aucune info (donc pas de statistiques) a Coverity.

Resultat, ici la comparaison est entre des outils internes qu'une entreprise a juge assez peu importants pour etre uploades sur le service, et du code libre qui est probablement un mix entre les joyaux (Apache, Linux, …) et des trucs moins importants.

Bref, une comparaison sacrement bancale. Si tu veux comparer proprio a libre, tu prends des softs de memes types (ils essaient de resoudre le meme probleme, donc complexite a peu pres identique) et tu compares.

Mettre Linux ou Apache d'un cote, et pas un OS/serveur web de meme importance de l'autre, cela biaise totalement la comparaison.

C'est en partie vrai.

Pour l'autre partie, etant donne que je connais personnellement les gens et les groupes dans 2 des cas cites, on va dire que je sais largement mieux quoi penser que d'autres ici.

Ce qu'il te semble est totalement faux, mais evidemment si tu as envie de voir des complots partout tu es libre de le faire, personne ne t'en empeche, c'est ca la liberte !

For the 2013 Coverity Scan Report, the company analyzed code from more than 700 open source C/C++ projects **as well as an anonymous sample of enterprise projects**. 

"Entreprise projects" c'est pas vraiment la meme chose que 'logiciel proprietaire', plutot un sous-ensemble tres particulier qui ne concerne que les logiciels developpes en interne par certaines entreprises pas forcement specialistes du sujet.

Ce que fait Adobe, MS, Apple, … par exemple n'entre pas dedans.

C'est possible, dur a dire.

Tu multiplies la surface d'attaque, et donc les chances de trouver une faille, par 2, et tu divises (en imaginant que les utilisateurs sont proportionellement repartis) les victimes potentielles par 2.

Au final tu risques de te retrouver avec 5 failles touchant chacune 1/5eme de la population plutot qu'une faille touchant 100%

Mais evidemment, tout ca c'est des probabilites, a mon avis ca ne sera jamais possible car en software il y a une tendance a la selection d'un ou deux principaux joueurs.

Exim est le MTA par défaut de Debian. Je pense qu'il y a un certain nombre de serveurs Debian sur cette planète tu ne crois pas ?

Oui, ca ne veut pas dire qu'Exim est mis sur toutes ces installs ou est accessible.

CUPS est le système d'impression utilisé par tous les Unix et par Mac OSX. Il me semble que là aussi ça fait un sacré paquet de monde…

CUPS n'est utilise par quasiment personne en mode reseau (ou SSL serait utilise). Les seules personnes qui donnent a CUPS une base d'utilisateurs decente sont les Maceux, et peu d'entre eux ont une imprimante reseau car les Macs en entreprise c'est tres tres petit, surtout en cote serveur.

Faut quand meme revenir sur terre. Apache c'est la grosse majorite des serveurs web, MySQL c'est la grosse majorite des bases de donnees sur le web a mon avis, et il y a tout le reste encore.

D'après l'article Wikipedia il y a au moins GNOME, Exim, Mutt, wireshark et CUPS. Loin d'être négligeable donc.

Euuuuhhh…. tu rigoles ? C'est RIEN

Comptes le nombre de gens qui utilisent ces softs. Multiplie le chiffre par 10.

Ensuites tu prends le resultat, et tu compares au nombre de gens qui directement ou indirectement utilisent OpenSSL a travers Apache.

Ah oui, Apache a plus d'utilisateurs (je parles des gens qui s'y connectent donc) que ces softs reunis fois 10.

Ensuite tu rajoutes tout ce qui utilisateurs de OpenVPN, MySQL, PostgreSQL, etc… et tu te rends comptes que GnuTLS est inexistant dans ce monde.

Maintenant tu es un chercheur en securite, tu compares les 2, dans lequel des 2 est-ce que trouver une faille aiderait ta renommee le plus ou te ferait le plus d'argent (en imaginant que tu es du cote obscur) ?

C'est comme sur le desktop, il faudrait etre stupide pour aller essayer de trouver des failles dans KDE plutot que dans le shell Windows a moins d'avoir un interet particulier pour KDE

drogue et poireaux ?

Drole de combinaison…

Je lis :

Dernier changement et non des moindres : les daemons communiquent désormais en HTTP(S). Ceci permet de mettre en place facilement un chiffrement efficace (modulo les failles dans OpenSSL évidemment) de manière simple par rapport aux versions précédentes qui utilisaient la librairie python Pyro peu compatible avec le SSL.

Et 30 secondes passees a regarder ce que fait le client HTTP donnent :

# Also set the SSL options to do not look at the certificates too much
self.con.setopt(pycurl.SSL_VERIFYPEER, 0)
self.con.setopt(pycurl.SSL_VERIFYHOST, 0)

Genre, ca sert a quoi SSL si le module en charge des connections ne verifie meme pas a qui il cause et se chope une attaque MITM avec un certificat valide mais avec un hostname different ?

Ah ca oui, le code est une horreur, je confirme a 100%, tout comme la doc.

Maintenant, GnuTLS est utilise par tres peu de gros softs, le jour ou il remplace OpenSSL et qu'il est sous les feux de la rampe, qu'est ce qui nous dit qu'il fera mieux qu'une lib qui est en premiere ligne depuis longtemps et qui donc a ete auscultee depuis longtemps ?

cela ne concene pas "monsieur" pbpg

Non bien sur, tu parles des employes de MS, tu sais parfaitement que j'ai bosse des annees la-bas, mais non voyons, ca ne me concerne pas

Le reste je pourrai y repondre aussi mais je n'en ai pas besoin vu que tu "dis" que j'ai dit quelques choses mais sans apporter les preuves

Preuves ?

• Menteur : http://linuxfr.org/users/pied/journaux/microsoft-sort-un-pilote-libre-du-flan#comment-1052081 et http://linuxfr.org/users/pied/journaux/microsoft-sort-un-pilote-libre-du-flan#comment-1052285 entre autres

On notera d'ailleurs que c'est toi qui ment dans le dernier post, en effet, tu n'etais pas 'parti' du site, tu t'etais fais virer par les admins

• Vendu / payer pour etre ici : http://linuxfr.org/users/zaurus/journaux/plus-deee-pc-vendus-sous-linux-par-defaut#comment-1200324 et de nombreux autres

• Virer du site, c'est deja mentionne sur http://linuxfr.org/users/pied/journaux/microsoft-sort-un-pilote-libre-du-flan et ca c'est passe ici : http://linuxfr.org/users/anonyme/journaux/odf-et-microsoft-office-2007-sp2-suite-et-surement-pas-fin#comment-1030857

Mais comme d'hab, quand on te met le nez dans le merde, tu pars vite te cacher.

Pour moins que le prix d'une nouvelle licence + ordinateur neuf + logiciels neuf qui ne font pas forcément la même chose ou n'ont pas forcément les mêmes formats de fichiers

Tiens, tu le sors d'ou ce chiffre ?

ils aurraient un OS qui dépend de leur association et non d'une worldcompany

Et qu'est ce qu'ils en ont a faire que ce soit une 'worldcompany' ? Paribas prefere un travail d'artisan des cotes Normandes c'est ca ?

avec l'assurance que cet OS ne sert pas en plus à de l'espionnage industriel

C'est une assurance qu'ils ont deja ca, donc ca ne vaut rien comme element.

Indice : Faire un sniff reseau c'est facile, ca fait 13 ans que personne n'a rien vu avec XP, et a moins que les firewalls de ta boite soient des passoires, le systeme n'a aucun moyen d'etre 'allume' exterieurement.

Pourquoi ? Parce que tu ne sais justement pas si ca fonctionnera avec ReactOS. C'est une reimplementation, pas l'original.

Alors qu'une VM sous XP ben c'est clair, c'est le meme OS.

Je faisais pas de comparaison avec MS, simplement entre OpenSSL et GnuTLS…

Mais vu que tu parles de ces 2 (2 parce que les liens sous "Alors" et "probleme" pointent sur la meme vulnerabilite & patch) vulnerabilites, tu remarqueras que les 2 que tu cites sont des vulnerabilites dans le protocole lui-meme, pas dans l'implementation que MS a faite. A peu pres tout le monde etait vulnerable :

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555

The TLS protocol, and the SSL protocol 3.0 and possibly earlier, as used in Microsoft Internet Information Services (IIS) 7.0, mod_ssl in the Apache HTTP Server 2.2.14 and earlier, OpenSSL before 0.9.8l, GnuTLS 2.8.5 and earlier, Mozilla Network Security Services (NSS) 3.12.4 and earlier, multiple Cisco products, and other products, does not properly associate renegotiation handshakes with an existing connection, which allows man-in-the-middle attackers to insert data into HTTPS sessions

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389

The SSL protocol, as used in certain configurations in Microsoft Windows and Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, and other products, encrypts data by using CBC mode with chained initialization vectors, which allows man-in-the-middle attackers to obtain plaintext HTTP headers via a blockwise chosen-boundary attack

Ce dernier n'est d'ailleurs pas une faille de SSL lui-meme, mais une faiblesse dans l'utilisation qui en est faite car les gens se sont rendu compte que CBC est pourri.

C'est une sacre difference compare aux failles recentes d'Apple, GnuTLS et OpenSSL ou les vulnerabilites etaient dues a des erreurs dans l'implementation par les devs et le QA qui n'a pas trouve le probleme.

GnuTLS ?

Celui la : http://www.zdnet.com/goto-apple-gnutls-falls-foul-of-ssl-certificate-verification-issues-7000026957/ ?

Pas sur que ce soit mieux qu'OpenSSL…

J'ai demande ce qui pouvait etre en trop, comment tenter de faire maigrir le bousin, j'ai eu quelques liens que j'ai teste (qui n'ont pas fait grand chose) et des insultes. Au bout d'un moment j'en ai un peu assez des insultes. Je pense que c'est comprehensible.

Si seulement c'etait vrai. Le truc c'est que tu n'as pas hesite une seconde a affirmer que Windows prenait >20Gb de base. Tu n'as jamais laisse la place a l'hypothese que tu aurais rate un truc, non comme d'habitude tu as affirme quelque chose de totalement faux sur Windows/MS en le posant comme si c'etait un fait avere. Et ca fait des annees que tu joues ce petit jeu pourri.

Avec un comportement pareil, rien d'impressionant au fait que tu sois traite d'incompetent ou FUDeur, c'est le resultat de ton comportement. Tu ne l'aimes pas ? Change de comportement.

Personnne ne le force a le faire et personne ne le force a insulter les gens qui ne sont pas d'accord avec lui.

Mes reponses a tes posts ne te sont pas destinees, elle n'ont pas pour but de te faire changer d'avis, ni de t'expliquer quoi que ce soit, parce que tout le monde sait parfaitement que tu n'as jamais ete interesse par la verite, ton objectif n'a jamais ete autre que cracher ton venin sur MS, peu importe la realite des choses.
Je reponds pour que les gens qui lisent ce forum aient la possibilite d'avoir un contre-argument a tes salades.

Pour le reste :
1) Te traiter d'incompetent et FUDeur n'est pas une insulte (tu devrais acheter un dictionnaire pour comprendre ce mot), c'est simplement une realite.
2) Venant de qq'un qui me traite de :
- menteur
- connard ( http://linuxfr.org/users/dcp/journaux/systemd-vs-linux-quand-l-intransigeance-d-un-developpeur-tourne-au-ridicule#comment-1530619 )
- vendu / paye par ma boite pour etre la
- …

et que tu n'as pas hesite a mettre des infos me concernant en publique ici, ce qui t'a valu de te faire ejecter ton compte par les admins, on va dire que tu fais bien attention a ne pas regarder la poutre qui est dans ton oeil

Besoin de repondre ?

Il y a qq'un (pas moi donc) sur ce meme journal qui a fait l'essai pour verifier mes dires, et qui a fini son install en moins de 10Gb ( commentaire : http://linuxfr.org/users/ben_le_sphinx/journaux/fin-du-support-de-ms-windows-xp#comment-1525935 )

Résultat 10G à l'installation. Je n'ai bêtement pas pris de capture d'écran, mais j'avais 29G de libre sur 39.

Que veux tu que je rajoutes de plus ? La question etait : quelle est la taille minimale d'installation d'un Windows, la reponse est la, exactement comme je l'avais dite.

Ton Surface Pro, a toi de regarder ce qu'il contient, je suis pas (plus) le support technique de MS, j'ai pas acces a ta machine ou un Surface Pro pour regarder, et si je devais faire ce genre d'effort pour chaque personne sur linuxfr.org qui me dit qu'il aimerait savoir pourquoi Windows fait/ne fait pas X,Y,Z j'aurais du boulot pour 3 personnes a plein temps.

Oh et vu qu'on est sur le sujet des installs minimales :

http://blogs.windows.com/windows/b/springboard/archive/2014/04/10/what-is-windows-image-boot-wimboot.aspx

Windows 8.1 Update a un nouveau format d'installation qui permet des installs completes en 4Gb, partion de sauvegarde incluse.

Absolument pas c'est toi qui pretend que ce n'est ni l'un ni l'autre et donc c'est a toi de donner la troisieme possibilite. Je n'ai absolument pas demande que tu prouves la troisieme possibilite mais que tu dises ce que cela peut etre mais visiblement tu n'en as strictement aucune idee, ce qui ne me surprend pas trop…

LOL. Quelle belle logique : Un FUDeur lance des rumeurs, et l'onus est aux autres de prouver qu'il a tort. Tu fais vraiment pitie.

Je n'ai donc absolument pas a donner de preuves et je laisse les personnes de ce site juge eux meme sur le sujet. Personnelement je ne prends pas les gens pour des debiles.

Pas a donner de preuves ? Ah oui tiens, allez, balancons des conneries, pas besoin d'etayer ses dires !! C'est a l'accuse de prouver son innocence !

Personnelement je ne prends pas les gens pour des debiles.

Oh que si justement, car tu sors constamment connerie sur connerie a la maniere d'un propagandiste de bas etage.

Et le pire c'est que sais parfaitement quel jeu tu joues, tu es parfaitement conscient de la strategie degueulasse que tu utilises, et c'est vraiment repugnant.

Je n'ai aucun besoin de prouver que tu racontes des conneries, c'est toi qui accuses, c'est a toi de prouver que MS l'a fait par incompetence ou malice.

Et comme 99.5% de tes posts, tu n'as jamais amene la moindre once de preuve de tes dires, tu regardes un ou deux symptomes et tu en tires la conclusion que tu veux car ca arrange ta haine de MS. Tu fais toujours bien attention a ne pas chercher la moindre explication qui pourrait amener a une autre conclusion.

Pathetique comme approche, mais bon, avec toi on commence a avoir l'habitude.

Je n'ai rien a t'expliquer, tu n'as jamais cherche ni fait l'effort en plusieurs annees de regarder si il pouvait y avoir quoi que ce soit d'autre dans les decisions de MS que de l'incompetence ou de la volonte de creer des dommages.

Partant de la, il est inutile de perdre du temps a t'expliquer des choses dont tu te fous totalement vu que ton seul objectif est de cracher ton venin sur cette boite.

a toujours fait des tests de premiere classes

C'est tout a fait vrai, ravi que tu t'en sois finalement rendu compte !

les updates ne foirent jamais chez eux

Tu exageres, on va dire "tres tres rarement" plutot

la sécurité c'est le top du top

Effectivement, ravi que tu aies enfin realise ce que toute l'industrie de la securite dit

a tel point que l'on peut vivre sans antivirus sur leurs OS depuis toujours

Si tu evites de lancer kournikova.exe oui certainement, comme sous Linux quoi

mais non ce n'est pas de la malveillance si un update de windows modifie l'ordre de boot de UEFI cela a été teste par Microsoft…

Non, c'est juste toi qui comme d'habitude fait des commentaires sans meme chercher a comprendre le pourquoi du comment, mais bon, on commence a avoir l'habitude

Moi je me contentes de comparer a ce que j'ai vu.

Je prends Samba par exemple, ce qu'ils ont en tests est :

a) Plus que la grande majorite des projets open source
b) Bcp moins que ce que MS a

Si ca se trouve, Samba a bcp plus que la grande majorite des boites proprios, ca je peux pas comparer, j'en connais que 2 de l'interieur, mais quand je compares a ce que je connais, ben il n'y a pas photo.