Journal La securité de Longhorn

Posté par  (Mastodon) .
Étiquettes : aucune
-1
21
oct.
2004
Voici l'opinion (sur son blog perso) d'un developpeur de Longhorn au sujet de la sécurité. Il y fait des comparaisons avec d'autres projets libres. C'est un peu trollistique, mais c'est interessant tout de même et tout n'est pas à jeter.

http://weblogs.asp.net/larryosterman/archive/2004/05/25/141593.aspx(...)

info: ce n'est pas tout neuf, ça date du mois de Mai.

Le même donne son avis sur la sécurité des navigateurs en relation avec ça:
http://www.securityfocus.com/archive/1/378632/2004-10-15/2004-10-21(...)
et ça:
https://linuxfr.org/2004/10/20/17462.html(...)
  • # Commentaire supprimé

    Posté par  . Évalué à 0.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # Petit commentaire hors-sujet

    Posté par  . Évalué à 7.

    Personnellement, je veux bien croire l'argumentaire du monsieur. Que les lignes de code de Longhorn soit relues, rerelues, et rererelues est une très bonne chose (=moins de spam!).

    Si Longhorn est un système "mégasuprasecure" élaboré selon une "nouvelle façon de travailler", tant mieux.

    Ce que je ne comprend pas, c'est le besoin de ce développeur de comparer Longhorn (un système qui n'est pas encore sorti au final) à "n'importe quelle distribution linux ou provenant de la communauté open-source". Les "façon de travailler" sont différentes, le public visé est différent, et l'idée de support technique associé est différente.

    Exemple pour ce que ca intéresse et qui ne comprenne pas tout à fait où je veux en venir. Hier l'un de mes profs nous a sorti tout un joli discours comme quoi "Quoi que vous en pensiez la priorité d'une entreprise N'est PAS les profits (satisfaction des actionnaires), mais bel et bien la satisfaction client. Et si vous me trouvez un exemple d'entreprise qui fait des profits sans satisfaire pleinement ses clients blablabla".

    Bon je lève mon doigt, je propose Microsoft. Dans le cadre de la concurrence pure et parfaite, un utilisateur a le choix : il connait les différentes offres, et il peut voir que Firefox répond à 100% de ses besoins tandis que IE pas. Problème: dans la vie réelle de tout les jours, les utilisateurs ne savent pas et la belle phrase de mon prof ne fonctionne pas en cas de monopole.

    Ca se tient non? Qu'a-t-il trouvé à répondre à cela? "Expliquez moi alors pourquoi Linux n'a pas plus de succès!". Ah. Si vous parlez en pas trop bien de Microsoft, et même si vous ne voulez parler QUE de Microsoft, pouf Linux ressort comme un vieux démon bsd.

    Donc quelqu'un a-t-il une explication à ce phénomène? Est-il réellement impossible d'analyser ce que fait Microsoft économiquement SANS tomber sur la focalisation Linux? Est-ce qu'il est impossible d'analyser ce que fait Microsoft en terme de sécurité SANS tomber dans le "Ouais mais toi avec ton terminal ..."?

    voilà voilà

    plagiats
    • [^] # Re: Petit commentaire hors-sujet

      Posté par  (site web personnel) . Évalué à 4.

      Les "façon de travailler" sont différentes, le public visé est différent, et l'idée de support technique associé est différente.
      Euh, quand je vois une mandrake à carrouf je me dis que quand même y'a des points communs et que l'un tente une incursion dans une chasse gardée de l'autre... Si M$ compare avec Linux, c'est bien qu'il y a matière à comparer et des parts de marché à se disputer.

      Quoi que vous en pensiez la priorité d'une entreprise N'est PAS les profits (satisfaction des actionnaires), mais bel et bien la satisfaction client
      C'est pas contradictoire : une entreprise recherche le profit à travers la satisfaction du client (cas général)
      • [^] # Re: Petit commentaire hors-sujet

        Posté par  . Évalué à 4.

        Ce n'est pas contradictoire mais la question était "la satisfaction client apporte du profit" ou "le profit d'abord, la satisfaction client si on peut".

        Et ce que je veux dire ce n'est pas "Linux et windows sont totalement incomparables" mais plutot "Faut arreter de réfléchir comme si Linux = Windows-bis" et surtout "Faut arreter de dévier systématiquement sur Linux lorsque l'on veut parler de Microsoft".
        • [^] # Re: Petit commentaire hors-sujet

          Posté par  . Évalué à 3.

          et la satisfaction client c'est quoi ?
          1 - on identifie un besoin et on essaye d'y répondre de manière à satisfaire le besoin et par conséquent le client, ou bien
          2 - on repond a un besoin inexistant, on crée le besoin et dans ce cas, on est sur de réussir à satisfaire ce besoin mais satisfait on réellement le client ?

          c'est peut être là qu'elle est la différence, dans un cas, on répond à un besoin artificiellement créé et dans l'autre on cherche réellement a trouver des solutions à un problème.
    • [^] # Re: Petit commentaire hors-sujet

      Posté par  . Évalué à 3.

      "Expliquez moi alors pourquoi Linux n'a pas plus de succès!...".
      Mais es tu connus pour être un "pro linux" ? As tu pris des positions en comparant Linux aux autres solutions ?
      Ceci explique cela :)

      A une époque je parlais souvent de linux et du LL. Au bout d'un moment cela fatigué les autres (chose normale) et dès que je disais quelque chose on me répondait " Et Linux, il fait mieux ?" "et Open Office ?" , etc.
      • [^] # Re: Petit commentaire hors-sujet

        Posté par  . Évalué à 2.

        Mais es tu connus pour être un "pro linux" ?

        Oui, mais cela n'empeche pas les Microsoftiens de REFUSER de parler uniquement de Microsoft, lorsque seul Microsoft est concerné par le sujet.
    • [^] # Re: Petit commentaire hors-sujet

      Posté par  . Évalué à 3.

      Eh plagiats, c'est bien joli de faire des conclusions hatives, mais faut voir à vérifier ce qu'on dit!
      Il y a énormément de personnes qui sont satisfaites de MS, car par expérience, certaines grandes entreprises utilisent Windows apres avoir tranché car pour Windows ils ont un support irréprochable en cas de pépin. De plus, les licences ne sont pas si cheres que ca à grande échelle.
      Alors apres, ton blabla, c'est du vent. Ils sont contents du produit, ils n'ont pas de problemes (oui ils sont compétents) et ils n'ont aucune raison de choisir Linux.
      • [^] # Re: Petit commentaire hors-sujet

        Posté par  . Évalué à 1.

        Mon propos ne concerne pas Linux, uniquement Microsoft. Est-ce que les "certaines grandes entreprises" ont réellement considéré toutes les alternatives possibles pour voir ce qui répond le mieux à leur besoin? Oui, sans aucun doute.

        Est-ce que cela veut dire que Microsoft adapte ses produits en fonction de la satisfaction client (d'un point de vue technique), ou faut-il y ajouter la dimension de communication au client (générer la satisfaction du client en le persuadant qu'il a fait le bon choix?).

        Le propos du professeur était de dire "La satisfaction client avant tout". Mon propos est de dire que pour Microsoft le profit passe avant, et la satisfaction client passe "ensuite si on a le temps". Ce qui compte pour Microsoft c'est de donner au client l'impression de satisfaction, et de ne pas générer de l'insatisfaction.

        Il y a une différence entre répondre pleinement au besoin du client, faire croire au client que tous ses besoins sont comblés, et ne pas répondre au besoin.
        • [^] # Re: Petit commentaire hors-sujet

          Posté par  . Évalué à 1.

          Ce que t'as du mal a comprendre c'est que les grosses boites n'achetent pas 200'000 XP juste parce que la pub a la TV est jolie, ils l'achetent car XP fait ce qu'ils veulent, et c'est de cette maniere que le produit est developpe. Siemens ne s'est pas retrouve avec plus de 350'000 machines sous XP apres que le PDG ait vu la pub.

          On va jeter un oeil sur ce que les gens veulent, ce que la plupart veulent sera inclus dans l'OS(si c'est faisable, on est pas magicien non plus), et on ajoutera des elements qui selon nous peuvent creer de nouvelles debouchees, etc...

          Croire que Windows se vend juste grace a la communication c'est se fourrer le doigt dans l'oeil hyper profond et refuser de voir la verite en face. La pub ca joue, mais c'est loin d'etre suffisant pour vendre un produit.
          • [^] # Re: Petit commentaire hors-sujet

            Posté par  . Évalué à 2.

            Je ne dis pas le contraire! Mais Windows XP Pro doit satisfaire seul les besoins de toutes les entreprises en terme de système d'exploitation.

            Ce que je dis ici, c'est que les entreprises ont des besoins qu'elles n'oseront jamais aller demander à MS parce que, résignées, elles se diront qu'il faut le faire soit même. Vous customisez pas Windows XP Pro pour chaque grosse entreprise quand même? Elle font bel et bien appel à du développement en plus, derrière?

            Ce que Microsoft vend, c'est aussi le sentiment de satisfaction "On a un système!", pas forcément la satisfaction pur et dure ("Le système fait exactement ce que l'on veut! Ni plus, ni moins!").

            Sinon bonjour à toi pBpG, ca faisait un moment que je n'avais pas eu le plaisir de te lire. :)

            plagiats
    • [^] # Re: Petit commentaire hors-sujet

      Posté par  . Évalué à 3.

      "Quoi que vous en pensiez la priorité d'une entreprise N'est PAS les profits (satisfaction des actionnaires), mais bel et bien la satisfaction client. Et si vous me trouvez un exemple d'entreprise qui fait des profits sans satisfaire pleinement ses clients blablabla".

      Dans la boîte où je bosse (SS2I), nous avons une petite charte avec les "valeurs" de l'entreprise.
      Et la première valeur, c'est de faire du profit... la satisfaction client intervient après.

      Donc la priorité d'une boîte, à mon avis, c'est bien de faire du profit. La satisfaction client n'est qu'un moyen pour y arriver (une boîte qui ne satisfait pas le client à une mauvaise image, à du mal à trouver des marchés...).
      Maintenant, je peux me tromper, mais c'est une vision de l'intérieure ;)
    • [^] # Re: Petit commentaire hors-sujet

      Posté par  (site web personnel) . Évalué à 4.

      Demande à ton prof pourquoi les entreprises ne vendent pas à prix coûtant si leur objectif est la satisfaction du client avant les bénéfices.

      Ah mais oui je suis bête c'est pour investir afin de satisfaire le client du futur!

      non mais franchement ya des gens qui plannent quand même...
    • [^] # Re: Petit commentaire hors-sujet

      Posté par  . Évalué à 4.

      Et si vous me trouvez un exemple d'entreprise qui fait des profits sans satisfaire pleinement ses clients blablabla".

      je sous traite dans le support informatique pour une tres grosse boite allemande de télécom à toulouse, et crois moi que la satisfaction du client, ils s"en tapent... ce qui les interesse c'est de gagner le max de tune sur le dos du client par décrochage d'appel. Plus ça va plus les agents ne sont pas formés, et ne servent qu'à rediriger les appels. Ce qui fait qu'au lieu de résoudre les problemes users en moins de 10 minutes, ça peut prendre une heure ou plus (le temps de transmettre à la bonne équipe). Cette boite se plaindrait meme qu'il n'y ait pas assez de turn over...
  • # Et sur le contenu ?

    Posté par  (site web personnel) . Évalué à 2.

    Je n'ai vu aucun commentaire sur le contenu. Pourtant, des passages comme
    "If you're going to argue that Linux/OSX is somehow safer because they're not popular, then that's relying on security by obscurity. And that dog don't hunt :)"

    me rappelent que Microsoft utilisait il y a pas si longtemps la fermeture de leur source comme un argument de sécurité. Ce n'est pas compter sur la sécurité par l'obscurité ?

    De plus, il n'y a aucun argument dans ce qu'il avance, juste
    "My response (updated and edited): Um Compared to what? Linux? Hands down, Longhorn will be more secure out-of-the-box than any Linux distribution available at the time."
    et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.

    Enfin, pour ce qui est de

    "After all, Longhorn's starting with an amalgam of Win2K3 and XP SP2"

    je ne trouve pas ca rassurant, surtout si ils reprennent la couche réseau du SP2. Pour les utilisateurs de XP dans notre réseau, l'installation de SP2 a posé de gros problèmes, le mieux étant que pour deux ordinateurs identiques (celui proposé par l'école), les effets étaient différents. Outre les programmes ne fonctionnant pas, et le firewall qui bloquait tout, il y'avait aussi un truc super chiant : l'update modifiait plein d'options de configuration.
    • [^] # Re: Et sur le contenu ?

      Posté par  . Évalué à 2.

      me rappelent que Microsoft utilisait il y a pas si longtemps la fermeture de leur source comme un argument de sécurité. Ce n'est pas compter sur la sécurité par l'obscurité ?

      Ne pas melanger l'opinion d'un developpeur et de sa boite, c'est 2 choses differentes

      et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.

      Ben il y a des trucs qu'on n'a pas le droit de reveler, et d'autres qui sont dispo publiquement, suffit de chercher ce qui s'est dit pendant le PDC, les docs sur microsoft.com,...

      je ne trouve pas ca rassurant, surtout si ils reprennent la couche réseau du SP2. Pour les utilisateurs de XP dans notre réseau, l'installation de SP2 a posé de gros problèmes, le mieux étant que pour deux ordinateurs identiques (celui proposé par l'école), les effets étaient différents. Outre les programmes ne fonctionnant pas, et le firewall qui bloquait tout, il y'avait aussi un truc super chiant : l'update modifiait plein d'options de configuration.

      Ben que le firewall bloque tout c'est normal. Un systeme sur commence par tout bloquer par defaut, et tu debloques ce dont tu as besoin, ca s'appelle reduire la surface d'attaque.

      Quand aux problemes, j'aimerais bien que tu detailles un peu plus, quels types de problemes ?

      Pour Longhorn, perso je trouves tout a fait normal que les gens doutent jusqu'a ce qu'ils l'aient devant les yeux, mais sachant ce que je sais, je suis assez d'accord avec lui.
      • [^] # Re: Et sur le contenu ?

        Posté par  (Mastodon) . Évalué à 2.

        et rien d'autre sur la façon dont la sécurité a été amélioré (ou vas l'être) pour Longhorn.

        Je crois que s'il site 2x le projet openbsd, c'est justement parce qu'il dit justement que la politique chez microsoft est d'auditer beaucoup plus le code qu'auparavant :

        But Microsoft GETS security nowadays. [...] Every line of code in the system is code reviewed before it’s checked into the mainline source tree, to check for security problems, and we’ve got a security push built-into the schedule where we’ll go back and re-review all the code that was checked in during the lifetime of the project.
        • [^] # Re: Et sur le contenu ?

          Posté par  . Évalué à 3.

          Ce qui m'intéresse aussi ce sont les outils d'audit de code utilisés pour Linux et les projets libres phares ainsi que leurs stats d'utilisation.

          Leur usage est-il systématique ? Certainement pas.
          A la rigueur c'est tolérable sur de petits projets de dév indépendants, mais dès qu'on rentre dans un logiciel un peu gros avec beaucoup de contributeurs, il faut un outil de verification !
      • [^] # Re: Et sur le contenu ?

        Posté par  . Évalué à 2.

        > Ben que le firewall bloque tout c'est normal. Un systeme sur commence par tout bloquer par defaut, et tu debloques ce dont tu as besoin

        le problème est la nouveauté de cette politique (chez microsoft en tout cas) qui fait que les utilisateurs :
        - ne savent pas ce que c'est
        - ne savent pas comment ca marche
        - ne savent meme pas que c'est la
        - s'en foutent puisqu'on leur dit que ca marche tout seul

        Un firewall doit etre activé au point d'entrée sur un réseau, pas sur toutes les machines à l'intérieur

        > ca s'appelle reduire la surface d'attaque.

        ca serait pas mieux de pas laisser trainer des ports RPC ouverts ?
        • [^] # Re: Et sur le contenu ?

          Posté par  . Évalué à 2.

          Un firewall doit etre activé au point d'entrée sur un réseau, pas sur toutes les machines à l'intérieur

          Et pour les gens qui ont XP a la maison, le point d'entree c'est quoi si ce n'est la machine elle meme ?

          ca serait pas mieux de pas laisser trainer des ports RPC ouverts ?

          Ca resoudrait quoi ? Ca empecherait les hackers d'attaquer d'autres ports ? Non.
          Avec le firewall qui tourne, tu sais qui ecoute sur le reseau, tu peux decider de le permettre ou pas, ...
      • [^] # Re: Et sur le contenu ?

        Posté par  . Évalué à 4.

        > mais sachant ce que je sais, je suis assez d'accord avec lui

        Ca c'est un point très intéressant.

        "Quand je vois ce que je vois, et que j'entends ce que j'entends, je me dis que j'ai raison de penser ce que je pense."

        :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.