IIS etait connu pour etre un trou beant, jusqu'a IIS 6. IIS 6 c'est sorti en 2005 et depuis il fait beaucoup mieux qu'Apache, il y a plus de 8 ans. On va dire que c'est un siecle en informatique.
Windows l'OS, c'est depuis Vista, en 2007. SQL Server 2005 en… 2005, etc…
a) C'est de l'open source, en 2012-2014, les bugs se comptent par centaines
b) Aucune des failles n'a ete trouvee en lisant le code, toutes ont ete trouvees par un fuzzing assez primitif (vous savez, le truc que je dis depuis des annees et qui amene mes posts en negatif a chaque fois)
c) Certaines des failles etaient la depuis longtemps
d) Ils disent clairement que le code est tellement mauvais qu'il vaut mieux ne pas l'utiliser
e) C'est pas un projet obscur et nouveau de l'open source hein… C'est un projet qui est la depuis un moment, et qui est utiise par bcp de gens.
Mais comme tout, personne ici n'etait meme au courant du fait que ffmpeg est une passoire, parce que c'etait pas sur slashdot, parce que c'etait pas sur news.com, parce que les gens ici quand il s'agit de securite, ils se contentent de regarder TF1 plutot qu'aller voir le documentaire qui va en profondeur sur la 5eme a minuit, et ensuite ils s'obstinent a dire que parce que TF1 l'a dit, alors il n'y a rien d'autre de vrai.
Non, il faut arrêter de te la jouer victime : le problème est que tu racontes des conneries bien plus souvent que des trucs biens (la dernière fois que je t'ai moinsé, c'est parce que tu veux absolument que ton employeur ai un "historique en sécurité" de la mort qui tue, alors qu'il y a eu plein de preuves du contraire dans le passé même si ça s'améliore aujourd'hui et plein d'experts en sécu qui le disent).
Tu vois, c'est ca qui est drole… L'obsession que je suis 'vendu' ou que je courre pour 'mon employeur', etc…
Le truc amusant, c'est que j'ai quitte MS il y a 3 mois, et que maintenant je bosses pour une boite qui pourrait bien etre le plus grand utilisateur de Linux de la planete, ou sinon au moins le 2eme derriere Google. Eh oui, je passe mes journees sur Linux.
La depeche sur PhpCompta, tu n'as meme pas pris le temps de lire ce que j'ecrivais et ce que l'article disait tellement tu etais sur de ton fait, sur que j'etais en train de pousser 'mon employeur', etc…
C'est ca qui est gonflant, parce que tu n'es pas du calibre d'Albert, et pourtant tu es tombe dans ce travers aussi.
Ben j'aimerais bien pouvoir dire ce que j'ai a dire, le probleme est que le systeme ici l'empeche. La preuve etant que mes commentaires sont caches a bcp de gens par defaut, et que je ne peux pas poster de journaux. C'est une dictature de la pensee unique un peu ici.
Si tu sens arriver la limite de karma qui empêche de poster, il sera toujours temps de se greffer à une dépêche (comme celle d'un kernel), ou de faire une opération de sauvetage de karma.
On va dire que c'est chiant ? Tu t'amuserais combien de temps a faire ce petit jeu simplement pour compenser un systeme de merde et le comportement de certains idiots de la pensee unique ?
Cela dit, tu n'es pas systématiquement moinssé lorsque tu postes du contenu parlant de Microsoft ou de Windows, comme on peut le constater avec ce journal.
C'est pas systematique, c'est juste le cas 95% du temps…
C'est un peu un cycle vicieux. J'ai comme tout le monde le sait pour habitude de me faire moinsser au moindre post que je fais ayant trait a MS, peu importe son contenu, ce qui me casse les couilles et m'incite a venir de moins en moins, ce qui baisse mon karma du meme coup.
C'est plutot con, parce que ca m'empeche de poster des journaux, et sur les 2-3 derniers mois, ca fait bien 2-3 journaux en tout cas que je n'ai pas pu mettre qui auraient ete interessants pour certains, mais bon, les admins du site n'ont semble t'il pas l'intention de corriger ce systeme de notation pourri. Visiblement ils n'ont pas de problemes avec le fait qu'un gars soit discrimine dans ses possibilites sur le site simplement car il a une opinion differente de certains groupes vocaux par leurs votes sur les commentaires.
Bref, on est donc d'accord sur ce que je disais plus haut. Windows a un bel historique de passoire démontré par des années de malware, virus, adware et j'en passe. Que Linux n'ai pas eu ce genre de déboire, ça ne t'interpelle pas, soit
Bel historique de passoire ? Il y a 10 ans oui, ces dernieres annees non. Les virus ca fait longtemps qu'on ne les voit plus. Les malwares/adware c'est parce que l'utilisateur choisit de les installer dans l'enorme majorite des cas, et ca, quel que soit l'OS tu pas faire grand chose contre.
Donc non, ca ne m'interpelle pas. Ca m'interpellera le jour ou tu me donneras une explication technique sur une faiblesse dont ils tirent partie qui n'est pas presente sur d'autres systemes.
Et ca tu ne l'as toujours pas fait. Tu n'as pas amene un seul element technique. Tu m'as liste des trucs genre "je comprends pas pourquoi un driver peut ecire dans la registry" qui ne fait rien d'autre que montrer que tu ne comprends pas qu'un kernel a tous les droits, etc…
Tu m'amenes une explication technique d'une faiblesse de Windows compare a Linux ? Allez, ca devrait etre simple a t'entendre. Ces trucs qui verolent si facilement Windows comme tu le dis, ils doivent bien passer par quelque part si ce n'est pas par l'utilisateur, donnes moi donc ce conduit.
Si tu ne sais pas lequel c'est apres moult recherches, ben faudrait peut-etre penser a revoir tes prejuges.
Tout depend de comment tu le fais. Si tu poses des questions (le nom de ton 1er chien, la marque de ta chaussette droite, etc…) avant d'envoyer un e-mail de reset, c'est deja bien plus difficile.
A son addresse e-mail ? Avec un e-mail qui a de fortes chances de passer en clair sur le reseau ? Qui va arriver on ne sait quand ? (genial pour automatiser quoi que ce soit…) Si son address e-mail est recyclee comme Yahoo s'est mis a faire tu envoies le lien a un inconnu ? etc…
Depuis je dirais un au ou deux, ca a bien empire. La plupart des gens ne parlent pas technique, ils font du communautaire (mon X est meilleur que le tien, si tu oses dire l'inverse je te flame/moinsse/etc…)
Le contenu 'purement technique' a pas mal baisse, les gens qui etaient interesses par ces discussions (j'imagines que c'est en reaction) sont moins presents, au profit des gens qui ne sont interesses qu'a troller sur leurs chouchous preferes de maniere emotionelle et avec peu d'argumentation technique.
Bref, c'est devenu bcp moins amusant d'etre par ici pour certains qui attachent de l'importance a ce cote la.
Passer en 'admin' sous Windows sans passer par l'accord de l'utilisateur ça n'a jamais existé? Pourtant les exploits pleuvent depuis plus de 15 ans…
Par des failles ? Evidemment, et ca existe toujours, comme sous Linux.
J'attend toujours qu'on m'explique pourquoi un drivers hacké, un service corrompu ou une faille dans un logiciel de PDF donne le droit à du code de modifier le boot, les fichiers systèmes, la base de registre, les drivers… Bref, Windows, sécurisé? non.
Un driver c'est normal, il tourne dans le noyau, c'est idem sous Linux.
Pour le service, cela depend de ses permissions, idem sous les 2 systemes.
Quand au logiciel PDF, tu m'expliqueras comment un logiciel PDF tournant en simple utilisateur va modifier le boot sous Windows…
Il n'y a aucun OS grand public qui existe et qui est different sur ces points.
Linux sensible à ce genre de chose, oui aussi, mais beaucoup moins. Le nombre de services qui peuvent passer root diminue, pour les applis c'est quasi inexistant. Des systèmes comme AppArmor font ce qu'ils peuvent pour limiter la casse pour le reste.
Bref, comme Windows quoi. Tu ne m'a rien montre ici que Linux a et Windows pas.
Pour les trucs crades des "clows", tu ne trouves pas gênant qu'il soit permis de les faire? et de manière si facile avec un simple glisser-déposer?
LOL, et tu voudrais que le systeme fasse quoi exactement ? Qu'il interdise a l'admin de modifier son systeme ?
Explications techniques? Faut il détailler les différents moyens utilisés ces 5 dernières années pour accéder à la base de registre, modifier des fichiers système, infecter des drivers, le MBR, etc… sans que l'utilisateur n'ai eu a faire autre chose que de surfer.
Oui j'aimerais bien que tu me detailles comment un soft tournant sous un compte non-admin peut faire ca. Et ne me sort pas que tous les comptes sont admin, ca fait un bon moment maintenant que les comptes meme admins utilisent un token restreint et il faut passer par UAC pour elever a full-admin, l'equivalent de sudo.
Voila pour quelques winner, toujours en vente et qui n'ont pas fini de poser problèmes.
Et tu veux que MS ou Windows fasse quoi quand des clowns bloquent les updates et remplacent les dlls du systeme ? L'admin est seul maitre a bord, tout comme sous Linux, si il decide de se tirer dans le pied (ou laisse un de ses contractants lui tirer dans le pied comme dans ce cas), c'est clairement pas la faute du systeme.
Le systeme lui-meme ne souffre d'aucun de ces problemes. Si t'as un editeur qui fait des trucs crades, va lui crier dessus. Tu n'aurais pas idee de gueuler sur Linux si Oracle(ou autre) t'installes de force une libc maison sur le systeme quand meme ?
De mon point de vue un système sécurisé ne permettrait pas le centième des possibilités de modification du système avec lesquels jouent les virus une fois installés.
Ah oui ? Donnes moi donc un exemple de modif realisable sous Windows et pas sous Linux
On notera également que pour un programme téléchargé par un utilisateur, il est beaucoup moins facile sous linux de modifier le système.
De nouveau, donne mois la difference. Je veux l'explication technique donc.
A cela s'ajoute la politique des éditeurs et de Microsoft, je ne sais combien de grand éditeurs qui ont des logiciels nécessitant tout ou partie de la liste suivante :
Ben justement, tu nous donnes des exemples de logiciels un tant soit peu importants qui rentrent dans ces categories ?
Je suis sur que tu vas nous trouver des softs d'il y a 10 ans, ou un truc pourri ecrit par 3 pekins, mais je parles de vrais softs, que bcp de gens utilisent.
OK, résumons donc : toute étude, tout expert qui ne conclut pas que Windows et les produits Microsoft sont sûrs est débile.
Comme ça, c'est plus simple.
Vraiment, tu es tellement obsede par l'idee que je ne pousse que MS / Windows que tu ne fais meme pas attention a ce que je dis. Ca te tenterait de lire un peu en profondeur plutot que sauter sur ton clavier des la 1ere seconde ?
On va prendre la methode du clown qui a poste l'article sur le site omgubuntu et l'appliquer correctement (= donner a chaque OS 1 point si il n'y a pas de commentaire negatif sur une section)
Tu regardes les 12 sections, il y a des commentaires negatifs sur 3 sections :
- VPN pas certifie
- encryption disque pas certifiee
- pas de secure boot
Si tu lis les commentaires plutot qu'aveuglement compter sans lire les commentaires, tu te rends compte que pour Windows 8, il n'y a de commentaires negatifs que sur 2 sections :
- Bitlocker pas certifie
- L'entreprise ne peut pas forcer d'update des apps du Metro store (ca me surprendre mais bon qui sait)
Le reste concerne Windows 7, et le clown qui a poste l'article n'a clairement pas meme fait l'effort de lire, et s'est contente de compter les sections sans aucun commentaire.
Resultat, selon cette methode, Windows 8 est meilleur qu'Ubuntu(et Windows 7 est equivalent avec 9 points), et pourtant je dis que c'est une comparaison stupide et sans aucun sens
Bref, fais un minimum d'effort pour lire ce que les gens ecrivent plutot que sauter sur ton cheval des le 1ere paragraphe. Je suis en train de dire qu'une methode qui montre Windows sous un meilleur jour qu'Ubuntu est stupide, mais dans ton excitation et obsession tu n'es meme pas foutu de lire ce que j'ecris.
Maintenant tu fais un pas de plus, tu vas sur le site de GCHQ, et tu regardes ces 12 sections. Tu me montres en quoi ces sections sont des "bon / pas bons" ou autre evaluation comparative.
Le clown qui a poste ca sur le site omgubuntu.co.uk n'a clairement rien compris a ce qu'il a lu sur le site de GCHQ.
Mais vu que c'est une maniere totalement debile de juger un systeme, ca n'a vraiment aucun sens. Et c'est bien pour ca que GCHQ n'a jamais mis cela comme un moyen de comparaison entre systemes, mais simplement une recommendation pour l'usage de ces systemes individuellement.
Non ce n'est pas vrai : lalibre.be, lesoir.be dhnet.be…. Utilisent PHP avec Symphony2
C'est sympa ta liste… Moi je peux probablement te faire une liste de sites qui viennent d'etre ecrit en Perl ou en C si je cherches bien.
J'ai pas dit que PHP a disparu, j'ai dit qu'il commence a etre evite a cause de ses problemes de securite. Il ne va evidemment pas disparaitre en 3 jours hein.
Le problème avec le PHP est le même qu'avec le C : on peut faire beaucoup de choses même des trous de sécurité
T'as tout dit la, et c'est bien le probleme. PHP a des parametres par defaut qui sont dangereux, que la plupart des developpeurs ratent sans parler du reste.
D'autres frameworks n'ont pas ces problemes. Tout comme plein de gens se sont mis a C# et Java plutot que C car au final, c'etait plus sur et plus simple.
Et oui, IE8… avec ActiveX. Mais evidemment, si tu prends ActiveX sans meme comprendre comment son integration a changer dans IE8 c'est normal.
Tout comme il est normal que tu aies une vision de la realite deformee si tu te bases sur une page wikipedia pour te faire une opinion de la securite d'un browser, ou si tu te contentes de lire ce qui passe sur slashdot ou linuxfr.
Il y a des pontes de l'industrie de la securite, des gens qui sont experts dans le domaine, qui disent quasiment tous la meme chose, faudrait penser a mettre ca dans la balance et accepter de revoir ses prejuges.
Perso quand d'un cote j'ai Didier Deschamps, Laurent Blanc et Luis Fernandes qui choisissent une tactique, et de l'autre j'ai Pierre Menes et Thierry Roland qui font des vannes dessus, ben mon camp est vite choisi hein…
Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?
Windows 7 is slightly more difficult because it has full ASLR (address space layout randomization) and a smaller attack surface (for example, no Java or Flash by default). Windows used to be much harder because it had full ASLR and DEP (data execution prevention). But recently, a talk at Black Hat DC showed how to get around these protections in a browser in Windows.
In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?
No, Linux is no harder, in fact probably easier, although some of this is dependent on the particular flavor of Linux you’re talking about. The organizers don’t choose to use Linux because not that many people use it on the desktop. The other thing is, the vulnerabilities are in the browsers, and mostly, the same browsers that run on Linux, run on Windows.
…
In your opinion, which is the safer combination OS+browser to use?
That’s a good question. Chrome or IE8 on Windows 7 with no Flash installed. There probably isn’t enough difference between the browsers to get worked up about. The main thing is not to install Flash!
Ma source est d'anciens collegues et personnes de l'industrie que j'ai rencontre et revois de temps en temps autour d'une biere, rien d'officiel sur une page web que je sache car ce sont des decisions d'entreprise internes.
Je ne connais pas HipHop et HHMV assez pour savoir leur impact en terme de securite. De ce que j'en ai lu, non car ils s'occupent principalement de performance et de la maniere dont le code PHP est execute plutot que de nettoyage de ce que PHP permet de faire. Vu les ressources que Facebook a investi j'imagines qu'ils se sont assure que leur version interne de PHP a elimine nombre des problemes intrinseques a PHP par contre (au prix de limitations ? peut-etre, je sais pas) histoire que leurs developpeurs ne tombent pas dedans, mais j'ai jamais entendu parler qu'ils aient publie ce qu'ils ont fait.
Blaster c'est un bug qu'on avait deja corrige depuis un mois quand le virus est apparu. Sinon c'est bien que t'aies besoin d'aller 12 ans en arriere pour trouver qqe chose. Moi je te parles de PHP aujourd'hui.
Désolé de ne pas avoir la mémoire courte et de me souvenir du besoin rapide de mettre à jour Windows XP après install, dans un délai de quelques minutes avant d'être infecté par magie.
Pourquoi, tu crois qu'une distrib Linux de 2001 sans patchs est exempte de problemes similaires ?
Je ne parle pas d'Open Source (parce que c'était un peu la honte la faille SSH de Debian), je te parle d'hôpital qui se fout de la Charité, qui se croit trop fort, sans parler de licence.
Ben je te dirais perso que :
a) Je ne vois pas pourquoi tu amenes MS dans cette discussion, ca parlait de PHP. J'ai le droit de parler de qqe chose sans que Microsoft soit ramene ? Si je parles de cuisine tu vas venir comparer la cafeteria de MS ?
b) Vu que tu en parles, selon a peu pres tout le monde qui s'y connait en securite(Dan Kaminsky, Dave Aitel, Brad Hill, Charlie Miller, etc…), MS c'est plutot l'exemple a suivre. Donc bon, tu m'excuseras mais ton opinion sur le sujet m'importe peu.
Ouvre un compte twitter, chopes une dizaines de gars du monde de la securite et demandes leur quelle est la boite a suivre niveau securite du code.
Ils te repondront soit MS, soit Google dans la plupart des cas.
Ensuite, demandes leur ce qu'ils pensent de PHP.
Et apres, ben tu arretes d'utiliser PHP.
Ce que le gugus moyen pense de la securite des softs MS et des softs open source, perso ca me fait rire, parce que le gugus moyen ne comprend rien a la securite, mais s'amuse a faire coach de salon.
Perso j'ai quand meme un mal enorme a comprendre comment on peut se fier a un truc autant troue que PHP pour quelque chose d'aussi important que les finances d'une boite…
Je vous suggeres de changer de langage, de plus en plus de boites interdisent tout simplement PHP a cause de son historique incroyablement mauvais niveau securite.
Bien sur qu'ils ont fait qqe chose, mais de la a dire qu'ils sont la raison de la puissance de MS, c'est de la folie.
Dynamics c'est genre 1 milliard /an de revenus, un nain complet compare au reste de la societe, Frontpage n'a jamais ete un leader dans son segment, Hotmail a de l'importance mais de nouveau, par rapport au reste de MS c'est pas grand chose financierement.
Il y aurait Powerpoint qui a vraiment une grande importance mais quand tu vois a quoi ressemblait le soft achete par MS et comment il s'est developpe, il n'a plus rien a voir avec l'original depuis tres tres longtemps.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 9.
C'est quoi "recemment" ? Et compare a qui ?
IIS etait connu pour etre un trou beant, jusqu'a IIS 6. IIS 6 c'est sorti en 2005 et depuis il fait beaucoup mieux qu'Apache, il y a plus de 8 ans. On va dire que c'est un siecle en informatique.
Windows l'OS, c'est depuis Vista, en 2007. SQL Server 2005 en… 2005, etc…
Tu veux voir c'est quoi une blague niveau securite ? Ca : http://googleonlinesecurity.blogspot.com/2014/01/ffmpeg-and-thousand-fixes.html
a) C'est de l'open source, en 2012-2014, les bugs se comptent par centaines
b) Aucune des failles n'a ete trouvee en lisant le code, toutes ont ete trouvees par un fuzzing assez primitif (vous savez, le truc que je dis depuis des annees et qui amene mes posts en negatif a chaque fois)
c) Certaines des failles etaient la depuis longtemps
d) Ils disent clairement que le code est tellement mauvais qu'il vaut mieux ne pas l'utiliser
e) C'est pas un projet obscur et nouveau de l'open source hein… C'est un projet qui est la depuis un moment, et qui est utiise par bcp de gens.
Mais comme tout, personne ici n'etait meme au courant du fait que ffmpeg est une passoire, parce que c'etait pas sur slashdot, parce que c'etait pas sur news.com, parce que les gens ici quand il s'agit de securite, ils se contentent de regarder TF1 plutot qu'aller voir le documentaire qui va en profondeur sur la 5eme a minuit, et ensuite ils s'obstinent a dire que parce que TF1 l'a dit, alors il n'y a rien d'autre de vrai.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
Tu vois, c'est ca qui est drole… L'obsession que je suis 'vendu' ou que je courre pour 'mon employeur', etc…
Le truc amusant, c'est que j'ai quitte MS il y a 3 mois, et que maintenant je bosses pour une boite qui pourrait bien etre le plus grand utilisateur de Linux de la planete, ou sinon au moins le 2eme derriere Google. Eh oui, je passe mes journees sur Linux.
La depeche sur PhpCompta, tu n'as meme pas pris le temps de lire ce que j'ecrivais et ce que l'article disait tellement tu etais sur de ton fait, sur que j'etais en train de pousser 'mon employeur', etc…
C'est ca qui est gonflant, parce que tu n'es pas du calibre d'Albert, et pourtant tu es tombe dans ce travers aussi.
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
Ben j'aimerais bien pouvoir dire ce que j'ai a dire, le probleme est que le systeme ici l'empeche. La preuve etant que mes commentaires sont caches a bcp de gens par defaut, et que je ne peux pas poster de journaux. C'est une dictature de la pensee unique un peu ici.
On va dire que c'est chiant ? Tu t'amuserais combien de temps a faire ce petit jeu simplement pour compenser un systeme de merde et le comportement de certains idiots de la pensee unique ?
C'est pas systematique, c'est juste le cas 95% du temps…
[^] # Re: Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
C'est un peu un cycle vicieux. J'ai comme tout le monde le sait pour habitude de me faire moinsser au moindre post que je fais ayant trait a MS, peu importe son contenu, ce qui me casse les couilles et m'incite a venir de moins en moins, ce qui baisse mon karma du meme coup.
C'est plutot con, parce que ca m'empeche de poster des journaux, et sur les 2-3 derniers mois, ca fait bien 2-3 journaux en tout cas que je n'ai pas pu mettre qui auraient ete interessants pour certains, mais bon, les admins du site n'ont semble t'il pas l'intention de corriger ce systeme de notation pourri. Visiblement ils n'ont pas de problemes avec le fait qu'un gars soit discrimine dans ses possibilites sur le site simplement car il a une opinion differente de certains groupes vocaux par leurs votes sur les commentaires.
# Bien essaye
Posté par pasBill pasGates . En réponse au journal La GPL est un échec (FreeBSD 10 est sorti). Évalué à 10.
Mais on est pas Vendredi.
[^] # Re: Faut pas le prendre mal
Posté par pasBill pasGates . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 5.
Moi je dis qu'il y a troll et troll. Lorsque il y a de la valeur technique et de l'information dedans, c'est un bon troll.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -5.
Bel historique de passoire ? Il y a 10 ans oui, ces dernieres annees non. Les virus ca fait longtemps qu'on ne les voit plus. Les malwares/adware c'est parce que l'utilisateur choisit de les installer dans l'enorme majorite des cas, et ca, quel que soit l'OS tu pas faire grand chose contre.
Donc non, ca ne m'interpelle pas. Ca m'interpellera le jour ou tu me donneras une explication technique sur une faiblesse dont ils tirent partie qui n'est pas presente sur d'autres systemes.
Et ca tu ne l'as toujours pas fait. Tu n'as pas amene un seul element technique. Tu m'as liste des trucs genre "je comprends pas pourquoi un driver peut ecire dans la registry" qui ne fait rien d'autre que montrer que tu ne comprends pas qu'un kernel a tous les droits, etc…
Tu m'amenes une explication technique d'une faiblesse de Windows compare a Linux ? Allez, ca devrait etre simple a t'entendre. Ces trucs qui verolent si facilement Windows comme tu le dis, ils doivent bien passer par quelque part si ce n'est pas par l'utilisateur, donnes moi donc ce conduit.
Si tu ne sais pas lequel c'est apres moult recherches, ben faudrait peut-etre penser a revoir tes prejuges.
[^] # Re: pas de mot de passe?
Posté par pasBill pasGates . En réponse au journal L'art de stocker des mots de passe. Évalué à -2.
A toi de choisir des questions dont toi seul connait la reponse.
La securite totale a ses limites, et plus elle est haute, plus elle est compliqueee et non-user-friendly.
[^] # Re: pas de mot de passe?
Posté par pasBill pasGates . En réponse au journal L'art de stocker des mots de passe. Évalué à 1.
Tout depend de comment tu le fais. Si tu poses des questions (le nom de ton 1er chien, la marque de ta chaussette droite, etc…) avant d'envoyer un e-mail de reset, c'est deja bien plus difficile.
[^] # Re: pas de mot de passe?
Posté par pasBill pasGates . En réponse au journal L'art de stocker des mots de passe. Évalué à 2.
A son addresse e-mail ? Avec un e-mail qui a de fortes chances de passer en clair sur le reseau ? Qui va arriver on ne sait quand ? (genial pour automatiser quoi que ce soit…) Si son address e-mail est recyclee comme Yahoo s'est mis a faire tu envoies le lien a un inconnu ? etc…
[^] # Re: Faut pas le prendre mal
Posté par pasBill pasGates . En réponse au journal La communauté Linuxfr n'a-t-elle plus rien (de technique) à dire ?. Évalué à 3.
Moi c'est bien mon impression.
Depuis je dirais un au ou deux, ca a bien empire. La plupart des gens ne parlent pas technique, ils font du communautaire (mon X est meilleur que le tien, si tu oses dire l'inverse je te flame/moinsse/etc…)
Le contenu 'purement technique' a pas mal baisse, les gens qui etaient interesses par ces discussions (j'imagines que c'est en reaction) sont moins presents, au profit des gens qui ne sont interesses qu'a troller sur leurs chouchous preferes de maniere emotionelle et avec peu d'argumentation technique.
Bref, c'est devenu bcp moins amusant d'etre par ici pour certains qui attachent de l'importance a ce cote la.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -6.
Par des failles ? Evidemment, et ca existe toujours, comme sous Linux.
Un driver c'est normal, il tourne dans le noyau, c'est idem sous Linux.
Pour le service, cela depend de ses permissions, idem sous les 2 systemes.
Quand au logiciel PDF, tu m'expliqueras comment un logiciel PDF tournant en simple utilisateur va modifier le boot sous Windows…
Il n'y a aucun OS grand public qui existe et qui est different sur ces points.
Bref, comme Windows quoi. Tu ne m'a rien montre ici que Linux a et Windows pas.
LOL, et tu voudrais que le systeme fasse quoi exactement ? Qu'il interdise a l'admin de modifier son systeme ?
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
Oui j'aimerais bien que tu me detailles comment un soft tournant sous un compte non-admin peut faire ca. Et ne me sort pas que tous les comptes sont admin, ca fait un bon moment maintenant que les comptes meme admins utilisent un token restreint et il faut passer par UAC pour elever a full-admin, l'equivalent de sudo.
Et tu veux que MS ou Windows fasse quoi quand des clowns bloquent les updates et remplacent les dlls du systeme ? L'admin est seul maitre a bord, tout comme sous Linux, si il decide de se tirer dans le pied (ou laisse un de ses contractants lui tirer dans le pied comme dans ce cas), c'est clairement pas la faute du systeme.
Le systeme lui-meme ne souffre d'aucun de ces problemes. Si t'as un editeur qui fait des trucs crades, va lui crier dessus. Tu n'aurais pas idee de gueuler sur Linux si Oracle(ou autre) t'installes de force une libc maison sur le systeme quand meme ?
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -8.
Ah oui ? Donnes moi donc un exemple de modif realisable sous Windows et pas sous Linux
De nouveau, donne mois la difference. Je veux l'explication technique donc.
Ben justement, tu nous donnes des exemples de logiciels un tant soit peu importants qui rentrent dans ces categories ?
Je suis sur que tu vas nous trouver des softs d'il y a 10 ans, ou un truc pourri ecrit par 3 pekins, mais je parles de vrais softs, que bcp de gens utilisent.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -9.
Vraiment, tu es tellement obsede par l'idee que je ne pousse que MS / Windows que tu ne fais meme pas attention a ce que je dis. Ca te tenterait de lire un peu en profondeur plutot que sauter sur ton clavier des la 1ere seconde ?
On va prendre la methode du clown qui a poste l'article sur le site omgubuntu et l'appliquer correctement (= donner a chaque OS 1 point si il n'y a pas de commentaire negatif sur une section)
Ubuntu : https://www.gov.uk/government/publications/end-user-devices-security-guidance-ubuntu-1204/end-user-devices-security-guidance-ubuntu-1204
Tu regardes les 12 sections, il y a des commentaires negatifs sur 3 sections :
- VPN pas certifie
- encryption disque pas certifiee
- pas de secure boot
Windows 8 : https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7-and-windows-8/end-user-devices-security-guidance-windows-7-and-windows-8
Si tu lis les commentaires plutot qu'aveuglement compter sans lire les commentaires, tu te rends compte que pour Windows 8, il n'y a de commentaires negatifs que sur 2 sections :
- Bitlocker pas certifie
- L'entreprise ne peut pas forcer d'update des apps du Metro store (ca me surprendre mais bon qui sait)
Le reste concerne Windows 7, et le clown qui a poste l'article n'a clairement pas meme fait l'effort de lire, et s'est contente de compter les sections sans aucun commentaire.
Resultat, selon cette methode, Windows 8 est meilleur qu'Ubuntu(et Windows 7 est equivalent avec 9 points), et pourtant je dis que c'est une comparaison stupide et sans aucun sens
Bref, fais un minimum d'effort pour lire ce que les gens ecrivent plutot que sauter sur ton cheval des le 1ere paragraphe. Je suis en train de dire qu'une methode qui montre Windows sous un meilleur jour qu'Ubuntu est stupide, mais dans ton excitation et obsession tu n'es meme pas foutu de lire ce que j'ecris.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -8.
Merci pour cet enorme moment d'humour.
Maintenant tu fais un pas de plus, tu vas sur le site de GCHQ, et tu regardes ces 12 sections. Tu me montres en quoi ces sections sont des "bon / pas bons" ou autre evaluation comparative.
Le clown qui a poste ca sur le site omgubuntu.co.uk n'a clairement rien compris a ce qu'il a lu sur le site de GCHQ.
Tu prends par exemple Windows 8 ( https://www.gov.uk/government/publications/end-user-devices-security-guidance-windows-7-and-windows-8/end-user-devices-security-guidance-windows-7-and-windows-8 ) et tu te rends compte que le texte present dans la recommendation 1 et dans la 4, ce n'est rien de negatif, c'est une explication. Resultat, si on utilise le jugement totalement pourri du clown qui a poste l'article, ca laisse Windows 8 avec 2 entree, moins que les 3 d'Ubuntu.
Mais vu que c'est une maniere totalement debile de juger un systeme, ca n'a vraiment aucun sens. Et c'est bien pour ca que GCHQ n'a jamais mis cela comme un moyen de comparaison entre systemes, mais simplement une recommendation pour l'usage de ces systemes individuellement.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
C'est sympa ta liste… Moi je peux probablement te faire une liste de sites qui viennent d'etre ecrit en Perl ou en C si je cherches bien.
J'ai pas dit que PHP a disparu, j'ai dit qu'il commence a etre evite a cause de ses problemes de securite. Il ne va evidemment pas disparaitre en 3 jours hein.
T'as tout dit la, et c'est bien le probleme. PHP a des parametres par defaut qui sont dangereux, que la plupart des developpeurs ratent sans parler du reste.
D'autres frameworks n'ont pas ces problemes. Tout comme plein de gens se sont mis a C# et Java plutot que C car au final, c'etait plus sur et plus simple.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -9.
Et oui, IE8… avec ActiveX. Mais evidemment, si tu prends ActiveX sans meme comprendre comment son integration a changer dans IE8 c'est normal.
Tout comme il est normal que tu aies une vision de la realite deformee si tu te bases sur une page wikipedia pour te faire une opinion de la securite d'un browser, ou si tu te contentes de lire ce qui passe sur slashdot ou linuxfr.
Il y a des pontes de l'industrie de la securite, des gens qui sont experts dans le domaine, qui disent quasiment tous la meme chose, faudrait penser a mettre ca dans la balance et accepter de revoir ses prejuges.
Perso quand d'un cote j'ai Didier Deschamps, Laurent Blanc et Luis Fernandes qui choisissent une tactique, et de l'autre j'ai Pierre Menes et Thierry Roland qui font des vannes dessus, ben mon camp est vite choisi hein…
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/
Windows 7 or Snow Leopard, which of these two commercial OS will be harder to hack and why?
In Pwn2Own 2010 there is still no trace of Linux as possible target. Is it too harder to find exploits for Linux or a non commercial operating system has no interest for exploit hunters?
…
In your opinion, which is the safer combination OS+browser to use?
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -8.
Ma source est d'anciens collegues et personnes de l'industrie que j'ai rencontre et revois de temps en temps autour d'une biere, rien d'officiel sur une page web que je sache car ce sont des decisions d'entreprise internes.
Je ne connais pas HipHop et HHMV assez pour savoir leur impact en terme de securite. De ce que j'en ai lu, non car ils s'occupent principalement de performance et de la maniere dont le code PHP est execute plutot que de nettoyage de ce que PHP permet de faire. Vu les ressources que Facebook a investi j'imagines qu'ils se sont assure que leur version interne de PHP a elimine nombre des problemes intrinseques a PHP par contre (au prix de limitations ? peut-etre, je sais pas) histoire que leurs developpeurs ne tombent pas dedans, mais j'ai jamais entendu parler qu'ils aient publie ce qu'ils ont fait.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -7.
Blaster ? Ah ben tu fais bien d'en parler !
Blaster c'est un bug qu'on avait deja corrige depuis un mois quand le virus est apparu. Sinon c'est bien que t'aies besoin d'aller 12 ans en arriere pour trouver qqe chose. Moi je te parles de PHP aujourd'hui.
Désolé de ne pas avoir la mémoire courte et de me souvenir du besoin rapide de mettre à jour Windows XP après install, dans un délai de quelques minutes avant d'être infecté par magie.
Pourquoi, tu crois qu'une distrib Linux de 2001 sans patchs est exempte de problemes similaires ?
Je ne parle pas d'Open Source (parce que c'était un peu la honte la faille SSH de Debian), je te parle d'hôpital qui se fout de la Charité, qui se croit trop fort, sans parler de licence.
Ben je te dirais perso que :
a) Je ne vois pas pourquoi tu amenes MS dans cette discussion, ca parlait de PHP. J'ai le droit de parler de qqe chose sans que Microsoft soit ramene ? Si je parles de cuisine tu vas venir comparer la cafeteria de MS ?
b) Vu que tu en parles, selon a peu pres tout le monde qui s'y connait en securite(Dan Kaminsky, Dave Aitel, Brad Hill, Charlie Miller, etc…), MS c'est plutot l'exemple a suivre. Donc bon, tu m'excuseras mais ton opinion sur le sujet m'importe peu.
[^] # Re: Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -6.
Ben en fait c'est simple.
Ouvre un compte twitter, chopes une dizaines de gars du monde de la securite et demandes leur quelle est la boite a suivre niveau securite du code.
Ils te repondront soit MS, soit Google dans la plupart des cas.
Ensuite, demandes leur ce qu'ils pensent de PHP.
Et apres, ben tu arretes d'utiliser PHP.
Ce que le gugus moyen pense de la securite des softs MS et des softs open source, perso ca me fait rire, parce que le gugus moyen ne comprend rien a la securite, mais s'amuse a faire coach de salon.
# Php ? Vraiment ?
Posté par pasBill pasGates . En réponse à la dépêche Version finale des plugins de PhpCompta. Évalué à -6.
Perso j'ai quand meme un mal enorme a comprendre comment on peut se fier a un truc autant troue que PHP pour quelque chose d'aussi important que les finances d'une boite…
Je vous suggeres de changer de langage, de plus en plus de boites interdisent tout simplement PHP a cause de son historique incroyablement mauvais niveau securite.
[^] # Re: Jusqu'où faut-il s'adapter ?
Posté par pasBill pasGates . En réponse à la dépêche Pourquoi Microsoft Word doit mourir ?. Évalué à -5.
Bien sur qu'ils ont fait qqe chose, mais de la a dire qu'ils sont la raison de la puissance de MS, c'est de la folie.
Dynamics c'est genre 1 milliard /an de revenus, un nain complet compare au reste de la societe, Frontpage n'a jamais ete un leader dans son segment, Hotmail a de l'importance mais de nouveau, par rapport au reste de MS c'est pas grand chose financierement.
Il y aurait Powerpoint qui a vraiment une grande importance mais quand tu vois a quoi ressemblait le soft achete par MS et comment il s'est developpe, il n'a plus rien a voir avec l'original depuis tres tres longtemps.
[^] # Re: campus francais, serveur aux US
Posté par pasBill pasGates . En réponse au journal qyshare et Amazon EC2. Évalué à 2.
Reduire Amazon EC2 / AWS a "suffirait de se mettre a 3 ou 4 pour payer un serveur" c'est quand meme rigolo…