Journal Petite prévision pour l'avenir. Oracle !

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
39
11
août
2015

Plop,

Petite news rigolote à propos d'Oracle qui avec un peu de cynisme représente assez bien l'entreprise.

Au départ, la lecture du billet assez abrasif sur leur blog m'avait juste fait sourire. Mais maintenant qu'il n'est plus disponible, je me dis que c'est dommage de ne pas en faire profiter la communauté.

https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t

En gros, Oracle parle du fait que c'est mal et qu'il ne faut pas s'essayer à la rétro-ingénierie sur leur code. Les problèmes de sécurités sont réglés de leur côté. Si jamais vous tombez dessus par rétro-ingénierie, ils le régleront mais ne vous attendez pas à des remerciements de leur part. D'ailleurs en tant que client, ce n'est pas votre boulot.

A customer can’t analyze the code to see whether there is a control that prevents the attack the scanning tool is screaming about (which is most likely a false positive)

A customer can’t produce a patch for the problem – only the vendor can do that

A customer is almost certainly violating the license agreement by using a tool that does static analysis (which operates against source code)

Q. What does Oracle do if there is an actual security vulnerability?

A. I almost hate to answer this question because I want to reiterate that customers Should Not and Must Not reverse engineer our code. However, if there is an actual security vulnerability, we will fix it. We may not like how it was found but we aren’t going to ignore a real problem – that would be a disservice to our customers. We will, however, fix it to protect all our customers, meaning everybody will get the fix at the same time. However, we will not give a customer reporting such an issue (that they found through reverse engineering) a special (one-off) patch for the problem. We will also not provide credit in any advisories we might issue. You can’t really expect us to say “thank you for breaking the license agreement.”

I do not need you to analyze the code since we already do that, it’s our job to do that, we are pretty good at it, we can – unlike a third party or a tool – actually analyze the code to determine what’s happening and at any rate most of these tools have a close to 100% false positive rate so please do not waste our time on reporting little green men in our code.”

Nous n'avons pas besoin d'analyser leur code. Ce sont des bons, c'est leur boulot, ils savent de quoi ils parlent.

L'histoire aurait pu s'arrêter là… après tout c'est leurs droits, leurs logiciels… et oui, ils ne doivent pas être si mauvais…

Peu de temps après leur communiqué et alors qu'il demande d'arrêter l'utilisation de logiciel d'analyse comme veracode pour l'analyse de la sécurité de leur application internet, une belle petite faille est découverte. On peut exécuter du code javascript sans problème dans leur champ de saisie d'url lors de la publication d'un commentaire.

https://twitter.com/thegrugq/status/631056841670135808

twitter

Bref, la classe.

  • # Avoir un code executable sur un site web...

    Posté par  (site web personnel) . Évalué à -8.

    … Si tu dois toi même recopier le code dans leur site pour voir l'effet chez toi, le risque me semble assez limité (à comparer avec exécuter du js par la barre adresse : c'est un bug ça ?!)

    (Je dis pas que c'est élégant, je dis pas que ça fait sérieux, mais appeler ça une vulnérabilité…)

    (Je dis ça en supposant que quand tu postes le commentaire, ça le fait pas chez les autres !!)

  • # Don't be evil

    Posté par  (site web personnel) . Évalué à 10.

    Don' t be evil qu'il disait …

    Je connais oracle depuis longtemps … et malheureusement l'évolution que je vois ne présage rien de bon.

    Oracle avait des versions qui durait longtemps 7 .. 8 .. 9 .. et même 10
    L'ajout de fonctionnalité a toujours été significatif et profitable
    Tu peu encore capitaliser tes connaissances avec oracle, ce tu apprends n'est pas perdu

    Jusqu'à récemment la confiance régnait entre cet éditeur et ses clients …
    Même si le coût des produits est toujours excessifs, tu peu télécharger la version que tu veux pour l'essayer.
    Donc des produits stables, performants, professionels et un éditeur qui vendait TRES cher ses produits mais bon il n'y avait pas d'équivalent et cela ne concernait que les très grosses structures.

    Et les charognards sont venus, quelqu'un s'est fait mousser en voulant contrôler ce que les clients avaient acheté et comment cela se passait sur le terrain.
    Le piège de la virtualisation s'est brusquement refermé … et cela pouvait faire mal.

    Ainsi Oracle a décrété qu'il ne tenait pas compte des processeurs virtuels mais de processeurs physiques et dans le cas de la virtualisation, des processeurs de la ferme de serveurs.

    Ainsi un cas classique chez mes clients :
    2 proc virtuels pour la VM oracle sur une ferme de 3 serveurs physiques hôtes des quad cores
    Oracle lui calcul le prix de sa licence d'utilisation sur les 3 x 4 = 12 cores
    au lieu des 2 cores allouées

    Beaucoup on virtualisés leurs serveurs physiques, et de manière honnête sans rajouter plus de procs qu'ils n'avait acquis.

    C'est venu d'un coup, un client a reçu un lettre, puis un autre. Et pas que des grosses structures non, des PME de 50 à 400 users.

    En plus ce genre de "contrôle" est effectué par des sociétés rémunérées au rendement et donc les "ajustements" pouvaient couter très très cher si vous répondiez de manière honnête.

    Oracle de bon produits, mais pour combien de temps encore, vu que les versions évoluent au même rythme que chez M$ …

    Comme quoi certains évoluent mais pas dans le bon sens …

    don't be evil … qu'ils disaient

    • [^] # Re: Don't be evil

      Posté par  (site web personnel) . Évalué à 10.

      Don't be evil, c'est Google hein. ;)

    • [^] # Re: Don't be evil

      Posté par  (site web personnel) . Évalué à 10.

      L'ajout de fonctionnalité a toujours été significatif et profitable

      hmmm

      • les partition tables promises au moment des v7, pas dispo en 8i (cool les partition views, mouais), ni en 9i ('fin si mais limite utilisables, pour du log ça allait on dira…) et enfin fonctionnelles en 10g ('fin pas vraiment utilisées, 10 ans après, c'est trop tard…)
      • le partitionnement devenu extrêmement payant d'une version à l'autre
      • les régressions de perfs du passage de 9 en 10 et rebelote de 10 en 11 (mais AWR est devenu plus sympathique il est vrai, fait "à la mimine par scripts et snaphots à analyser comme tu peux" auparavant avec le statspack)
      • des "petits" patchs de 150 Mo régulièrement

      Comme quoi certains évoluent mais pas dans le bon sens …

      Tu as PostgreSQL qui suffirait largement la plupart du temps (depuis au moins les v8, même si parfois un peu épique en montée de version…), surtout depuis les v9 bien mieux outillées. D'autant plus, si c'est pour du dév' spécifique et pas pour des progiciels souvent peu manœuvrant sur les SGBDR pris en charge.
      PostGIS pour tout ce qui est géographique ne revient pas à une blinde comme Oracle.

      Pour tous les autres outils rachetés par Oracle, il y a souvent l'équivalent en libre (voire en Freemium parfois :/) pour des structures de taille moyenne voire dans des grands groupes (j'en ai vu pas mal dans les filiales).

      • [^] # Re: Don't be evil

        Posté par  (site web personnel) . Évalué à 4.

        Et en plus, on commence à trouver bien plus simplement des personnes avec postgre sur le cv à la sortie d'école / fac / iut qui eux aussi n'ont pas voulu ni raquer ni autoriser l'audit de leur base.

        La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick

      • [^] # Re: Don't be evil

        Posté par  . Évalué à 10.

        Tu as PostgreSQL qui suffirait largement la plupart du temps

        J'imagine que c'est une façon de parler, mais les cas ou PostgreSQL ne suffit pas commencent franchement à se compter sur les doigts de la main d'un manchot.

        En analyse statistique le cstore_fdw https://github.com/citusdata/cstore_fdw est tout simplement bluffant d'efficacité.

        En geospatial le couple PostGIS/QGIS avec éventuellement GRASS n'a plus grand chose à envier à ArcGIS sur Oracle Spatial. Et si vraiment les quelques outils ArcGIS qui manquent encore à PostGIS sont nécessaires, on peut l'installer sur PostGIS aujourd'hui.

        En maintenance/sauvegarde/migration/montée de version, les outils Postgres sont désormais devant les outils Oracle à mon sens. 2nd Quadrant, Entreprise DB et Dalibo ont fait un boulot fantastique au cours des dernières années.

        En liaison avec des DB extérieures et fonctionnalités ETL, Postgresql met une pile à Oracle depuis l'arrivée des Foreign Data Wrapper. Et c'est pas l'arrivée de la 9.5 avec les import automatiques de schémas qui va arrangé les chose. Essayez Multicorn…

        En granularité des droits : On a pas encore les privilèges par colonne (mais ça arrive en 9.5), mais sinon les réécritures dynamiques de requêtes ou les tables fonctionnelles permettent de limiter grandement les éléments accédés par un utilisateur. Personnellement je préfère - mais ça demande un peu plus de dev.

        En ce qui concerne les framework de développement rapide : MWAHAHAHA … Désolé, j'ai pas pu m'en empécher.

        Le dernier point ou Oracle a encore un gros avantage sur PostgreSQL c'est sur les clusters actifs/actifs pour des bases de données de plusieurs Go (voire To) sur lesquelles aucun partitionnement n'est raisonnablement envisageable. Mais déjà ça se réduit à chaque version, et ensuite dans le pire des cas il suffit souvent de faire appel à Entreprise DB (ou plus rarement à Citus si vraiment les besoins en I/O sont très élevé) pour résoudre le problème avec un cout de licence sans commune mesure avec Oracle.

        • [^] # Re: Don't be evil

          Posté par  (site web personnel) . Évalué à 6. Dernière modification le 12 août 2015 à 11:45.

          En maintenance/sauvegarde/migration/montée de version, les outils Postgres sont désormais devant les outils Oracle à mon sens. 2nd Quadrant, Entreprise DB et Dalibo ont fait un boulot fantastique au cours des dernières années.

          Juste pour ma culture personnelle : quels sont les équivalents postgresql de rman et expdp s'il te plaît (lien ou au moins le nom) que je potasse un peu

          ou un bon tuto sur la sauvegarde de postgresql (physique et logique)

          Migration et montéee de version … chez oracle … mmmm … vive l'uft-8

          • [^] # Re: Don't be evil

            Posté par  (site web personnel) . Évalué à 1.

            Le truc c'est les fichiers WAL et pg_start_backup ?

            cela m'a l'air étonnement simple …

          • [^] # Re: Don't be evil

            Posté par  (site web personnel) . Évalué à 6.

            En équivalent à rman pour PostgreSQL tu peux voir du côté de barman (full hot backup, PITR…) => http://www.pgbarman.org/ (dispo dans Debian également).

          • [^] # Re: Don't be evil

            Posté par  . Évalué à 10.

            quels sont les équivalents postgresql de rman et expdp s'il te plaît (lien ou au moins le nom) que je potasse un peu

            Pour rman :
            - Backup à chaud intègre cohérent : pg_dump marche bien
            - Backup à chaud + transaction en cours simple : pg_rman (des soucis dans le passé, pas eu de soucis avec depuis 2 ans) pg_rman
            - Backup à chaud + Physique/logique + transaction : pgbarman - rien à redire, à peine plus complexe à utiliser que pg_rman et beaucoup plus puissant. pgbarman

            Pour impdp/expdp :
            - Import/export de base : pg_dump/pg_backup Doc Officielle
            - Duplication pour dev/analyse/test : pg_dump/pg_backup again avec l'option --serializable-deferrable éventuellement.
            - Clone logique : pg_basebackup (pour les clusters) ou pgbarman ou vraiment dans des conditions ultra particulières l'option --oids de pg_dump (Par condition ultra particulière je veux dire que vous êtres en train de développer une extension postgresql et qu'il y a un soucis - généralement dans les fonctions de transfo entre le format interne et le format SQL)

      • [^] # Re: Don't be evil

        Posté par  (site web personnel) . Évalué à 7.

        Je ne parlais que d'oracle et de ce qu'il était à une époque … et de ce qu'il est en train de devenir.

        Il y a beaucoup de choses merdiques même chez oracle … mais le coeur, la base de données, c'est quand même du bon produit.

        Postgresql est certainement un excellent produit, je ne l'utilise pas en exploitation.

        mais certain éditeur se retranche derrière des Noms et des Marques … sans considération technique

        ce que je trouve déplorable et affligeant.

        • [^] # Re: Don't be evil

          Posté par  . Évalué à 2.

          mais certain éditeur se retranche derrière des Noms et des Marques … sans considération technique
          ce que je trouve déplorable et affligeant.

          Ce serait moins un problème si le SQL était un vrai standard avec une suite de tests, et pas un truc qui se borne a définit une syntaxe que chaque vendeur décide d’implémenter ou pas.

          • [^] # Re: Don't be evil

            Posté par  (site web personnel) . Évalué à 1.

            SQL est un vieux truc qui fonctionnent pas trop mal, tout le monde a voulu mettre ses pattes dedans
            sans concertation ni logique.

            Et il y a tellement de $ en jeu que la norme les éditeurs s'en cognent, ils veulent surtout pouvoir différencier commercialement leurs produits

            C'est un peu l'histoire de l'informatique …

            • [^] # Re: Don't be evil

              Posté par  . Évalué à 2.

              C'est surtout qu'un standard qui n'a pas de suite de test ne pourra jamais assurer une quelconque interoperabilité. Par exemple les standards du web ont plutôt bien réussi de ce côté là.

              Maintenant je ne connais pas l'historique du standard SQL. Peut être que tous les vendeurs ont fait des pieds et des mains pour empêcher l'arrivée d'une suite de test?

    • [^] # Re: Don't be evil

      Posté par  . Évalué à 4.

      Heu non non, Oracle ils ont jamais dit ça.
      Ils sont parti d'une équipe qui a su écrire un bon moteur de gestion de données relationnelles et après il a bien fallu broder autour. ça ressemble plus à l'histoire de MS que de Google.

      • [^] # Re: Don't be evil

        Posté par  . Évalué à 5. Dernière modification le 14 août 2015 à 23:19.

        Euh… parce que Google ils ne sont pas parti d’une équipe qui a su écrire un bon moteur de recherche et que maintenant… bah… il faut broder autour ?

        • [^] # Re: Don't be evil

          Posté par  . Évalué à 2.

          un peu. mais ils ne vendent pas de logiciel. ils font du service, principalement à base de "human computing".

          • [^] # Re: Don't be evil

            Posté par  . Évalué à 1.

            Ça change quelque chose de vendre du service plutôt que du logiciel dans ce cas ? Vendre du service basé sur du logiciel c’est vendre du logiciel hein…

    • [^] # Re: Don't be evil

      Posté par  . Évalué à 0.

      Je ne veux pas prendre leur défense mais le coup du hard partitionning est bien connu. Il faut en fait utiliser leur solution de virtualisation OVM au lieu de VMWare. Ou rester en physique.

  • # le gouvernement british en a marre de payer des licences Oracle

    Posté par  (site web personnel) . Évalué à 6.

    et veut limiter ce coût annuel de 290 millions de £ soit
    407,566 millions d'Euros avec une livre à 1,4054 Euro

    http://www.theregister.co.uk/2015/08/05/cabinet_office_orders_ukgov_ditch_oracle/

    et Oracle envisagerait de changer de modèle de licence
    http://www.silicon.fr/oracle-licence-illimitee-perpetuelle-bases-donnees-123782.html?utm_source=2015-08-12&utm_medium=email&utm_campaign=fr_silicon&referrer=nl_fr_silicon&t=184ccc2edccdb8f62fd09ba0d51b5519950310

    J'ai appris dans cet article qu'en France, Oracle a perdu des procès face à Carrefour et l'Afpa

    ウィズコロナ

  • # Petite prévision pour l'avenir. Oracle !

    Posté par  (site web personnel) . Évalué à 6.

    D'après le titre, j'augure qu'il est question d'un futurologue tendance oracle, qui, avec précognition, intuite l'avenir de demain par prévision du futur qui nous est destiné ? Une sorte de pronostic en vaticination ?

  • # mise au point chez Oracle

    Posté par  . Évalué à 3.

    Faut avouer que c'est quand même assez croustillant.
    Visiblement Oracle a fait une mise au point(cf la fin de la news)

  • # C'est pas Oracle qui s'exprime

    Posté par  (site web personnel) . Évalué à 7.

    En gros, Oracle parle du fait que (…)

    Vu le ton de l'article (ultra-personnel, « moi j'ai fait ça ce week-end, et je pense si, et je pense ça »), et vu la réaction d'Oracle (suppression du billet dans l'heure qui a suivi), on ne peut pas dire que c'est Oracle qui s'exprime, mais uniquement Mary Ann Davidson (Chief Security Officer d'Oracle, quand même).

    D'ailleurs, l'incroyable manque de professionnalisme du billet me fait m'interroger sur la qualité actuelle des Chiefs Security Officers des grandes multinationales (cf. Sony et les mots de passe stockés en clair sur le PC du chef).

    • [^] # Re: C'est pas Oracle qui s'exprime

      Posté par  . Évalué à 6.

      D'ailleurs, l'incroyable manque de professionnalisme du billet me fait m'interroger sur la qualité actuelle des Chiefs Security Officers des grandes multinationales (cf. Sony et les mots de passe stockés en clair sur le PC du chef).

      Tu peux difficilement tirer des généralités d'un cas particulier. Ici, elle a grave merdé. Y en a d'autres qui ont l'air très bien (genre Alex Stamos, ex CISO de Yahoo et maintenant de Facebook).

    • [^] # Re: C'est pas Oracle qui s'exprime

      Posté par  . Évalué à 10.

      Je suis à la fois d'accord et pas d'accord.

      D'accord, parce que y'a rien à redire, c'est effectivement pas de la comm officielle oracle. Y'a pas à chier.

      Pas d'accord, parce qu'il s'agit d'un post d'un haut responsable d'Oracle, sur un site officiel oracle (blog.oracle.com), et qu'il l'a bien écrit en tant qu'employé Oracle (pour être plus clair : c'est pas Mary Ann Davidson qui s'exprime, mais bien le Chief Security Officer d'Oracle - meme si c'est la meme personne).

    • [^] # Re: C'est pas Oracle qui s'exprime

      Posté par  . Évalué à -2.

      Ça m'a fait rire, parce que j'avais en tête cette image rigolote qui circulait sur le Web il y a quelques temps, et qui ironisait sur le fait qu'une femme ne savait pas prendre une photo d'un sujet sans se placer dans le cadre, tout ceci couplé à cette tendance exacerbée et typiquement féminine au narcissisme virtuel.

      Hé bien du début à la fin de la lecture, j'étais en train de me dire « mais qu'est-ce qu'on en a à secouer ?! ». :-D

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 5. Dernière modification le 12 août 2015 à 22:19.

      Ce commentaire a été supprimé par l’équipe de modération.

  • # Dommage

    Posté par  . Évalué à 3.

    C'est dommage que tu n'aies pas prit la peine d'évoquer davantage le reste de ses propos.

    Il dit notamment ceci :

    you would think that before gearing up to run that extra mile, customers would already have ensured they’ve identified their critical systems, encrypted sensitive data, applied all relevant patches, be on a supported product release, use tools to ensure configurations are locked down – in short, the usual security hygiene – before they attempt to find zero day vulnerabilities in the products they are using. And in fact, there are a lot of data breaches that would be prevented by doing all that stuff

    Traduction :

    Vous pourriez penser qu'avant de se préparer à courir le prochain kilomètre, les clients auraient déjà identifié leurs systèmes critiques, chiffré leurs données sensibles, appliqué tous les patchs de sécurité pertinents, seraient sur un produit dont la release est encore supportée, utiliseraient des outils pour s'assurer que les configurations sont verrouillées - pour la faire courte, l'hygiène de sécurité habituelle - avant qu'ils ne tentent de trouver des failles 0-day dans les produits qu'ils utilisent. Et en réalité, il y a beaucoup de failles de sécurité qui pourraient être évitées en faisant toutes ces choses.

    Il faut bien admettre qu'il a raison dans un certain sens. Ceci étant dit, vouloir empêcher les gens de chercher des failles de sécurité, c'est reconnaître ouvertement et de façon complètement stupide que leurs produits sont troués (comme tous les logiciels) et qu'ils ont peur de ça. Et je vois d'ici l'effet Streisand arriver.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.