>>> Je demande que aussi simplement, on puisse avoir aces au niveau -42
Tu va sur ta page perso linuxfr : http://linuxfr.org/~Riend
Tu cliques sur le lien "Modifier vos préférences" qui se trouve à gauche
Parmi les différents choix tu coche la case "Activer la barre d'outils du site".
Ensuite quand tu ira sur un journal ou une news tu verra en bas à gauche le lien te permettant de régler to seuil : http://farm4.static.flickr.com/3477/3746274091_bec2abb5ed_o.(...)
Ben c'est quand même un gros boulot de tout migrer non ? Donc quand on décide de sauter le pas il faut que ce soit vers une solution pérenne à long terme il me semble.
Ce qui m'étonne c'est que KDE utilisait SVN depuis quand même assez peu d'années. je me souviens encore d'une petite news que j'avais rédigé au moment de l'annonce de la fin de la migration vers SVN => https://linuxfr.org//2005/05/11/18915.html et c'était il y a à peine 4 ans.
Si ils se tapent une grosse migration de tout leur source et de tout leur historique tous les 4 ans c'est que la planification à long terme n'a pas été super efficace je pense.
Bon est-ce qu'on pourrait stopper ce débat terminologique un peu absurde ? Il est évident que la réponse à apporter à la question "qui est le premier africain dans l'espace ?" dépend de la signification que l'on souhaite mettre dans le mot africain.
- Est-ce que ça veut simplement dire être né sur le continent africain ? Si oui alors c'est Baudry.
- Est-ce que ça veut simplement dire dire être citoyen d'un pays localisé sur le continent africain ? Si oui alors c'est Shuttleworth.
- Est-ce que ça veut simplement dire être de peau noire ? Si oui alors c'est Bluford.
- Est-ce que ça veut simplement dire être né sur le continent africain ET être citoyen d'un pays localisé sur le continent africain ET être de peau noire ? Si oui alors aucun astronaute/cosmonaute/spationaute ne répond pour le moment à ces critères.
Voici la description des jeunes d'aujourd'hui qui est présente dans l'article :
"Ils regardent la télévision, mais juste pour leur série favorite. Ils ne lisent plus les journaux papier, sauf les gratuits parce qu'il suffit de les ramasser dans les transports en commun et que leurs articles sont courts. Ils ont tous un accès à Internet, souvent utilisé pour converser sur le réseau de socialisation Facebook."
je ne sais pas si c'est vrai ou pas mais franchement ça fait peur pour l'avenir. On se moque généralement du niveau culturel des américains qui sont incapables de citer la capitale de l'Italie ou de localiser le japon sur une carte...mais, si l'article dit vrai, on va avoir une génération de gens capable de citer les acteurs de la série Buffy contre les vampires mais de pas grand chose d'autre.
Pas mal de marketspeak mais on note quand même un aveu ingénu : "Today’s release would have been unheard of from Microsoft a few years ago, but it’s a prime example that customer demand is a powerful catalyst for change.".
Ben oui c'est un peu le principe d'un marché libre que d'écouter le consommateur non ? Dommage que pour l'instant le consommateur desktop n'ai toujours que le droit de fermer sa gueule et d'acheter du Vista à la Fnac.
Si un juriste est dans la salle peut-être qu'il pourra nous expliquer qu'elles auraient été les conséquences de l'écriture de ce pilote si le noyau Linux été passé sous licence GPLv3.
Je crois me souvenir que la GPLv3 ajoute une clause de protection contre les attaques juridiques basées sur les brevets non ? Si Linux était sous la v3 est-ce que ce pilote écrit par Microsoft et incorporé au noyau signifierait que Microsoft perd automatiquement son droit à attaquer Linux pour violation de brevets ?
Si c'est bien le cas alors ça fout les boules d'être resté à la v2.....
Oh je ne doute pas que vous fassiez une distinction entre les bugs ayant des conséquences sur la sécurité et ceux n'en ayant à priori pas.
Le problème c'est que tu ne peux pas savoir si ceux que tu a mis dans le seconde catégorie ne relèvent pas en fait de la première...alors pourquoi dépenser de précieuses ressources à faire cette distinction qui n'a pas vraiment d'utilité ? Est-ce que ce n'est pas plus logique de dire aux utilisateurs d'appliquer toutes les corrections au lieu d'essayer de jouer au plus malin et de faire du pick and choose sur les correctifs ?
Un excellent commentaire d'Ingo Molnar à propos de la chronologie de cet exploit et surtout à propos de la personnalité (tordue) de Brad et des créateurs d'exploits.
Vraiment très intéressant à lire :
>>> La seule différence est que le propriétaire ne peut refuser la vente. Le prix est fixe par un expert (puisque le vendeur ne veut pas vendre, donc refuse de fournir un prix).
Tiens c'est hors sujet mais j'ai une question : Et si le propriétaire, sachant que l'expert va fixer un prix et qu'il va se faire exproprier, décide soudainement de changer d'avis et de mettre en vente son terrain pour 10.000.000.000 milliards d'euros ?
L'Etat ne peut plus dire que le propriétaire refuse de mettre en vente son terrain et donc l'Etat n'a plus le droit de faire appel à un expert pour fixer le prix non ?
Dans les commentaires de exploit.c il explique comment il est rentré en possession de ces mails...mais on ne peut pas dire que ce soit d'une précision absolue ;-)
"A man riding on horseback has delivered some news"
Cette précision juridique est intéressante mais elle ne change absolument rien au constat de l'illégalité de ce qu'à fait Brad (selon la loi française certes).
Il n'est pas membre de la liste vendor-sec donc aucun de ces mails ne lui était adressé donc il n'avait pas le droit (toujours selon la loi française) de les publier.
>>> son exploit utilise des failles dans Pulse Audio et personality()
D'après les commentaires présents dans son code il n'a pas besoin de PulseAudio ou de quoi que ce soit :
"SELinux lets any user in unconfined_t map at 0, overriding the mmap_min_addr restriction! pulseaudio is not needed at all! Having SELinux enabled actually *WEAKENS* system security for these kinds of exploits!".
Quand au ton utilisé par Brad c'est clair qu'il est particulièrement exaspérant. Avec lui on a toujours le sentiment qu'il est l'être le plus intelligent sur cette planète et que tous les autres ne sont que de sombres abrutis et qu'ils devraient l'écouter comme le messie.
Mais bon comme le dit l'un des intervenants sur l'article de LWN : "Personally I don't give a shit how angry or insane he may appear to be. He did a good job finding the exploit and did a good thing being public about it.".
>>> Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux
Brad a toujours été hyper-critique sur la sécurité du noyau Linux. Il faut bien voir que son gagne pain c'est grsecurity c'est à dire un patch de sécurité à appliquer sur le noyau vanilla. Il a donc tout intérêt à dénigrer le noyau normal afin de souligner la plus-value de son patch.
Donc il faut prendre ce qu'il dit avec un gros grain de sel.
Néanmoins on est forcé de constater que ses déclarations ont plus de force quand elles sont accompagnés d'un exploit 0-day qui passe à travers SELinux ;-)
Il faut vraiment lire tout le blabla qu'il a mis en commentaire du fichier exploit.c car c'est très instructif sur le coté technique de la faille mais aussi sur le personnage qu'est Brad.
Ce qui m'a étonné c'est qu'il colle des extraits de mails issus de la liste de diffusion vendor-sec.
Cette liste est faite pour que des informations circulent entre les développeurs et les entreprises du libre au sujet des problèmes de sécurité. Bien entendu la liste est privée et dévoiler ainsi des mails privés comme le fait Brad est plus qu'impoli. Je me demande même si ce n'est pas illégal.
Il faut savoir que Brad avait commencé par poster des vidéos de son exploit à l'oeuvre mais sans donner de détails techniques. Dans les commentaires d'exploit.c il se délecte de lire les échanges de mails sur vendor-sec (en ne donnant pas le nom du type qui lui a fourni les mails) ou les gens essayent, en ayant la vidéo pour seule information, de comprendre d'ou peut bien venir la faille.
Il distribue les bons points et les mauvais points en fonction des analyses proposés, il casse du sucre sur le dos de Linus Torvalds, qualifié d'expert sécurité en fauteuil (arm-chair security expert) et enfin il balance un paragraphe final sur la sécurité du noyau qui serait déplorable.
Ci-dessous je traduis l'ironique paragraphe d'introduction et le paragraphe final (je refuse de traduire les mail privés de vendor-sec).
"Un mec monté sur son cheval m'a apporté ces informations : toutes mes félicitations aux membres de vendor-sec pour leur excellente analyse de la vidéo de mon exploit, dans la même veine que leurs analyses des vulnérabilités du noyau. Regardez les maitres à l'oeuvre".
"Aux membres de vendor-sec : Même si vous ne me remercierez jamais (ou sgrakkyu ou Julien) vous êtes les bienvenus pour toute cette recherche gratuite dans le domaine de la sécurité qui aurait aussi bien pu être vendue dans le privé à la place. L'industrie (NdT : le marché des exploits) n'est plus ce qu'elle était en 2000, les gens ne publient plus les exploits maintenant : ils font du fric avec.
Ne pas voir débouler des exploits ne signifie donc pas que vous faites du bon travail. Avez-vous noté les exploits très complexes qui apparaissent impossiblement rapidement juste après qu'une faille soit finalement patchée ? Il y a une raison pour ça.
Si le code vulnérable avait été incorporé dans le 2.6.29 au lieu de l'être dans le 2.6.30 je n'aurai pas publié mon exploit. Je n'ai pas l'utilité de cet exploit...mais une bonne poilade ne se refuse jamais.
- Ma suggestion est que vous engagiez des gars comme sgrakkyus ou Julien plutôt que ces vieux qui n'ont jamais écrit un exploit de toute leur vie. A part Stealth je ne connais personne de doué dans cette industrie et qui soit employé par vous.
- Deuxième suggestion : Comme vous êtes des compagnies qui poussent l'open source et le logiciel libre ce serait bien si les justifications pour vos classifications de vulnérabilités étaient plus transparentes (ou même qu'elle soient publiées tout simplement). La vieille habitude que vous avez de classifier toute faille pour laquelle un exploit n'a pas été écrit en Denial of Service devient très fatigante et ne trompe plus personne.
- Troisièmement, la politique officielle qui consiste à ne pas mentionner les informations qui concernent la sécurité lors des modifications du code de Linux est une honte et un mauvais service que vous rendez à vous même, aux autres vendeurs et à vos clients. Cela démontre un manque d'intégrité et de confiance dans vos propres produits. Je sais que vous n'avez aucune intention de changer cette politique puisque vous profitez grâce à celle-ci d'une réputation de sécurité indue et qui ne se base pas sur la réalité. Dire la vérité sur les vulnérabilités de vos logiciels ternirait votre image et ce n'est pas bon pour le business. Vous êtes félicités quand vous dissimulez des choses et pourtant c'est Microsoft qui à une mauvaise réputation.
Si vous suivez les conseils que je vous donne alors peut-être que votre sécurité ne sera plus la risée de toute l'industrie".
A noter, pour répondre à une partie des critiques de Brad, que les mainteneurs des versions stables des noyaux se refusent à classer les corrections de bugs en fonction de critères de sécurité car pour eux il n'est pas possible de savoir à l'avance toutes les implications en matière de faille d'un bug donné.
Brad affirme que cette politique de non classification empêche les gens de faire des choix quand aux corrections à appliquer et les mainteneurs lui répondent qu'il n'y a pas de choix à faire et qu'il faut de toute façon appliquer toutes les corrections.
Bien malin celui qui peut dire qui a raison et qui a tort dans cette controverse, si les développeurs du noyau sont suffisamment attentifs aux problèmes de sécurité ou pas, si la réputation de Linux est vraiment surfaite ou si Brad exagère afin de pousser sa solution.
Les pauvres péons que nous sommes sont bien en peine de trier et d'évaluer vraiment les affirmations des uns et des autres...mais en tout cas la controverse est lancée et la situation ne peut que s'améliorer.
Ouais enfin quand on lit le lien donné dans la news on à ça : "It is written in Python, with the exception of very few wrapper scripts in BASH and one program written in C for performance reasons."
[^] # Re: « Cadeau » de Microsoft
Posté par patrick_g (site web personnel) . En réponse à la dépêche Microsoft sort un pilote Hyper-V pour Linux sous GPL. Évalué à 4.
[^] # Re: « Cadeau » de Microsoft
Posté par patrick_g (site web personnel) . En réponse à la dépêche Microsoft sort un pilote Hyper-V pour Linux sous GPL. Évalué à 0.
Tu va sur ta page perso linuxfr : http://linuxfr.org/~Riend
Tu cliques sur le lien "Modifier vos préférences" qui se trouve à gauche
Parmi les différents choix tu coche la case "Activer la barre d'outils du site".
Ensuite quand tu ira sur un journal ou une news tu verra en bas à gauche le lien te permettant de régler to seuil : http://farm4.static.flickr.com/3477/3746274091_bec2abb5ed_o.(...)
[^] # Re: Migration SVN vers GIT : l'expérience Gnome
Posté par patrick_g (site web personnel) . En réponse au journal Quelques nouvelles de KDE. Évalué à 3.
[^] # Re: Migration SVN vers GIT : l'expérience Gnome
Posté par patrick_g (site web personnel) . En réponse au journal Quelques nouvelles de KDE. Évalué à 3.
Si ils se tapent une grosse migration de tout leur source et de tout leur historique tous les 4 ans c'est que la planification à long terme n'a pas été super efficace je pense.
[^] # Re: Encore un troll qui meurt !
Posté par patrick_g (site web personnel) . En réponse à la dépêche Launchpad libéré !. Évalué à 10.
- Est-ce que ça veut simplement dire être né sur le continent africain ? Si oui alors c'est Baudry.
- Est-ce que ça veut simplement dire dire être citoyen d'un pays localisé sur le continent africain ? Si oui alors c'est Shuttleworth.
- Est-ce que ça veut simplement dire être de peau noire ? Si oui alors c'est Bluford.
- Est-ce que ça veut simplement dire être né sur le continent africain ET être citoyen d'un pays localisé sur le continent africain ET être de peau noire ? Si oui alors aucun astronaute/cosmonaute/spationaute ne répond pour le moment à ces critères.
[^] # Re: Fix
Posté par patrick_g (site web personnel) . En réponse à la dépêche Launchpad libéré !. Évalué à 3.
# Les jeunes d'aujourd'hui
Posté par patrick_g (site web personnel) . En réponse au journal L'industrie des médias découvre internet.... Évalué à 9.
"Ils regardent la télévision, mais juste pour leur série favorite. Ils ne lisent plus les journaux papier, sauf les gratuits parce qu'il suffit de les ramasser dans les transports en commun et que leurs articles sont courts. Ils ont tous un accès à Internet, souvent utilisé pour converser sur le réseau de socialisation Facebook."
je ne sais pas si c'est vrai ou pas mais franchement ça fait peur pour l'avenir. On se moque généralement du niveau culturel des américains qui sont incapables de citer la capitale de l'Italie ou de localiser le japon sur une carte...mais, si l'article dit vrai, on va avoir une génération de gens capable de citer les acteurs de la série Buffy contre les vampires mais de pas grand chose d'autre.
[^] # Re: En ce moment 9eme résultat
Posté par patrick_g (site web personnel) . En réponse au journal Bill Gates offre au monde une leçon de physique. Évalué à 3.
Je viens de tester et là le journal est en seconde position sur google.fr
# Press release
Posté par patrick_g (site web personnel) . En réponse au journal Microsoft sort un pilote Linux sous GPL. Évalué à 8.
Pas mal de marketspeak mais on note quand même un aveu ingénu : "Today’s release would have been unheard of from Microsoft a few years ago, but it’s a prime example that customer demand is a powerful catalyst for change.".
Ben oui c'est un peu le principe d'un marché libre que d'écouter le consommateur non ? Dommage que pour l'instant le consommateur desktop n'ai toujours que le droit de fermer sa gueule et d'acheter du Vista à la Fnac.
# Brevets
Posté par patrick_g (site web personnel) . En réponse au journal Microsoft sort un pilote Linux sous GPL. Évalué à 8.
Je crois me souvenir que la GPLv3 ajoute une clause de protection contre les attaques juridiques basées sur les brevets non ? Si Linux était sous la v3 est-ce que ce pilote écrit par Microsoft et incorporé au noyau signifierait que Microsoft perd automatiquement son droit à attaquer Linux pour violation de brevets ?
Si c'est bien le cas alors ça fout les boules d'être resté à la v2.....
[^] # Re: Quelques commentaires
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 3.
[^] # Re: Quelques commentaires
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 7.
Le problème c'est que tu ne peux pas savoir si ceux que tu a mis dans le seconde catégorie ne relèvent pas en fait de la première...alors pourquoi dépenser de précieuses ressources à faire cette distinction qui n'a pas vraiment d'utilité ? Est-ce que ce n'est pas plus logique de dire aux utilisateurs d'appliquer toutes les corrections au lieu d'essayer de jouer au plus malin et de faire du pick and choose sur les correctifs ?
[^] # Re: Quelques commentaires
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 3.
Cela a déjà été discuté as nauseam et manifestement les gens en charge des versions -stables du noyau ne sont pas du même avis que toi.
[^] # Re: L'avis de Mingo
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 5.
# L'avis de Mingo
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 4.
Vraiment très intéressant à lire :
http://lwn.net/Articles/342163/
[^] # Re: Traduction partielle ?
Posté par patrick_g (site web personnel) . En réponse à la dépêche Le débat sur la lecture des codecs vidéo par les balises HTML5. Évalué à 5.
Merdouille on ne s'en est pas rendu compte à l'étape de la modération.
[^] # Re: Quelques commentaires
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 1.
[^] # Re: une distribution a suivre
Posté par patrick_g (site web personnel) . En réponse à la dépêche Pardus Linux 2009. Évalué à 5.
Elle est accessible sur le site archive.org avec pas mal de détails sur Pisi:
http://web.archive.org/web/20071224111903/http://www.pardus.(...)
Un autre article qui est vraiment intéressant est celui sur l'utilisation généralisée de Python dans la distribution:
http://web.archive.org/web/20080124182113/http://www.pardus.(...)
[^] # Re: Expropriation
Posté par patrick_g (site web personnel) . En réponse à la dépêche Le débat sur la lecture des codecs vidéo par les balises HTML5. Évalué à 3.
Tiens c'est hors sujet mais j'ai une question : Et si le propriétaire, sachant que l'expert va fixer un prix et qu'il va se faire exproprier, décide soudainement de changer d'avis et de mettre en vente son terrain pour 10.000.000.000 milliards d'euros ?
L'Etat ne peut plus dire que le propriétaire refuse de mettre en vente son terrain et donc l'Etat n'a plus le droit de faire appel à un expert pour fixer le prix non ?
[^] # Re: légal/illégal
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 5.
Dans les commentaires de exploit.c il explique comment il est rentré en possession de ces mails...mais on ne peut pas dire que ce soit d'une précision absolue ;-)
"A man riding on horseback has delivered some news"
[^] # Re: légal/illégal
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 2.
Il n'est pas membre de la liste vendor-sec donc aucun de ces mails ne lui était adressé donc il n'avait pas le droit (toujours selon la loi française) de les publier.
[^] # Re: Quelques commentaires
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 9.
D'après les commentaires présents dans son code il n'a pas besoin de PulseAudio ou de quoi que ce soit :
"SELinux lets any user in unconfined_t map at 0, overriding the mmap_min_addr restriction! pulseaudio is not needed at all! Having SELinux enabled actually *WEAKENS* system security for these kinds of exploits!".
Quand au ton utilisé par Brad c'est clair qu'il est particulièrement exaspérant. Avec lui on a toujours le sentiment qu'il est l'être le plus intelligent sur cette planète et que tous les autres ne sont que de sombres abrutis et qu'ils devraient l'écouter comme le messie.
Mais bon comme le dit l'un des intervenants sur l'article de LWN : "Personally I don't give a shit how angry or insane he may appear to be. He did a good job finding the exploit and did a good thing being public about it.".
# Quelques commentaires
Posté par patrick_g (site web personnel) . En réponse à la dépêche Exploit local dans le noyau Linux 2.6.30. Évalué à 10.
Brad a toujours été hyper-critique sur la sécurité du noyau Linux. Il faut bien voir que son gagne pain c'est grsecurity c'est à dire un patch de sécurité à appliquer sur le noyau vanilla. Il a donc tout intérêt à dénigrer le noyau normal afin de souligner la plus-value de son patch.
Donc il faut prendre ce qu'il dit avec un gros grain de sel.
Néanmoins on est forcé de constater que ses déclarations ont plus de force quand elles sont accompagnés d'un exploit 0-day qui passe à travers SELinux ;-)
Il faut vraiment lire tout le blabla qu'il a mis en commentaire du fichier exploit.c car c'est très instructif sur le coté technique de la faille mais aussi sur le personnage qu'est Brad.
Ce qui m'a étonné c'est qu'il colle des extraits de mails issus de la liste de diffusion vendor-sec.
Cette liste est faite pour que des informations circulent entre les développeurs et les entreprises du libre au sujet des problèmes de sécurité. Bien entendu la liste est privée et dévoiler ainsi des mails privés comme le fait Brad est plus qu'impoli. Je me demande même si ce n'est pas illégal.
Il faut savoir que Brad avait commencé par poster des vidéos de son exploit à l'oeuvre mais sans donner de détails techniques. Dans les commentaires d'exploit.c il se délecte de lire les échanges de mails sur vendor-sec (en ne donnant pas le nom du type qui lui a fourni les mails) ou les gens essayent, en ayant la vidéo pour seule information, de comprendre d'ou peut bien venir la faille.
Il distribue les bons points et les mauvais points en fonction des analyses proposés, il casse du sucre sur le dos de Linus Torvalds, qualifié d'expert sécurité en fauteuil (arm-chair security expert) et enfin il balance un paragraphe final sur la sécurité du noyau qui serait déplorable.
Ci-dessous je traduis l'ironique paragraphe d'introduction et le paragraphe final (je refuse de traduire les mail privés de vendor-sec).
"Un mec monté sur son cheval m'a apporté ces informations : toutes mes félicitations aux membres de vendor-sec pour leur excellente analyse de la vidéo de mon exploit, dans la même veine que leurs analyses des vulnérabilités du noyau. Regardez les maitres à l'oeuvre".
"Aux membres de vendor-sec : Même si vous ne me remercierez jamais (ou sgrakkyu ou Julien) vous êtes les bienvenus pour toute cette recherche gratuite dans le domaine de la sécurité qui aurait aussi bien pu être vendue dans le privé à la place. L'industrie (NdT : le marché des exploits) n'est plus ce qu'elle était en 2000, les gens ne publient plus les exploits maintenant : ils font du fric avec.
Ne pas voir débouler des exploits ne signifie donc pas que vous faites du bon travail. Avez-vous noté les exploits très complexes qui apparaissent impossiblement rapidement juste après qu'une faille soit finalement patchée ? Il y a une raison pour ça.
Si le code vulnérable avait été incorporé dans le 2.6.29 au lieu de l'être dans le 2.6.30 je n'aurai pas publié mon exploit. Je n'ai pas l'utilité de cet exploit...mais une bonne poilade ne se refuse jamais.
- Ma suggestion est que vous engagiez des gars comme sgrakkyus ou Julien plutôt que ces vieux qui n'ont jamais écrit un exploit de toute leur vie. A part Stealth je ne connais personne de doué dans cette industrie et qui soit employé par vous.
- Deuxième suggestion : Comme vous êtes des compagnies qui poussent l'open source et le logiciel libre ce serait bien si les justifications pour vos classifications de vulnérabilités étaient plus transparentes (ou même qu'elle soient publiées tout simplement). La vieille habitude que vous avez de classifier toute faille pour laquelle un exploit n'a pas été écrit en Denial of Service devient très fatigante et ne trompe plus personne.
- Troisièmement, la politique officielle qui consiste à ne pas mentionner les informations qui concernent la sécurité lors des modifications du code de Linux est une honte et un mauvais service que vous rendez à vous même, aux autres vendeurs et à vos clients. Cela démontre un manque d'intégrité et de confiance dans vos propres produits. Je sais que vous n'avez aucune intention de changer cette politique puisque vous profitez grâce à celle-ci d'une réputation de sécurité indue et qui ne se base pas sur la réalité. Dire la vérité sur les vulnérabilités de vos logiciels ternirait votre image et ce n'est pas bon pour le business. Vous êtes félicités quand vous dissimulez des choses et pourtant c'est Microsoft qui à une mauvaise réputation.
Si vous suivez les conseils que je vous donne alors peut-être que votre sécurité ne sera plus la risée de toute l'industrie".
A noter, pour répondre à une partie des critiques de Brad, que les mainteneurs des versions stables des noyaux se refusent à classer les corrections de bugs en fonction de critères de sécurité car pour eux il n'est pas possible de savoir à l'avance toutes les implications en matière de faille d'un bug donné.
Brad affirme que cette politique de non classification empêche les gens de faire des choix quand aux corrections à appliquer et les mainteneurs lui répondent qu'il n'y a pas de choix à faire et qu'il faut de toute façon appliquer toutes les corrections.
Bien malin celui qui peut dire qui a raison et qui a tort dans cette controverse, si les développeurs du noyau sont suffisamment attentifs aux problèmes de sécurité ou pas, si la réputation de Linux est vraiment surfaite ou si Brad exagère afin de pousser sa solution.
Les pauvres péons que nous sommes sont bien en peine de trier et d'évaluer vraiment les affirmations des uns et des autres...mais en tout cas la controverse est lancée et la situation ne peut que s'améliorer.
[^] # Re: Ça pour une nouvelle ..
Posté par patrick_g (site web personnel) . En réponse à la dépêche Google sort un serveur NX libre. Évalué à 10.
Donc c'est presque que du Python.
[^] # Re: tu nous avais habitué à mieux
Posté par patrick_g (site web personnel) . En réponse au journal Bill Gates offre au monde une leçon de physique. Évalué à 6.
Je suis intéressé par ça...est-ce que tu aurai un lien sérieux à filer ? Tu a évoqué des statistiques Google là-dessus.