Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de abramov_MS :
- [04/04@22:13] encore une règle ISO de violé...
- [03/04@17:01] cela ne vous rappelle pas quelqu'un?
- [13/03@18:18] Comme soupconne OSP est une arnaque!
- [10/03@15:45] Vista c'est vraiment un OS rigolo :)
- [07/03@22:09] novell commence a voir les effets de vendre son ame
- [21/02@19:59] Microsoft pire qu'ubuntu dans ses updates
- [07/02@21:42] morceaux choisis
- [17/01@19:10] qui l'aurait cru...
- [13/12@15:43] Vista SP1 RC c'est du grand comique!
- [11/12@14:06] Vive les pays-bas!
- [07/12@01:07] Microsoft OpenXML les maneuvres pour le deuxieme round ont commence!
- [05/12@17:05] dell et linux c'est toujours pas ca
- [11/11@22:08] La pseudo fondation opendocument est dissoute!
- [11/09@13:09] "OOXML is a superb standard" qui a dit ca a votre avis?
- [05/09@18:36] du changement du cote des drivers ATI
- [31/08@20:03] sortie de xorg 7.3
- [30/08@14:46] Microsoft a confirme avoir achete le vote de la Suede!
- [24/08@22:52] Microsoft va reussir a acheter la normalisation de Microsoft OpenXML
- [07/08@21:27] Microsoft office 2007 ne sait pas lire Microsoft openXML...
- [11/07@13:24] Une nouvelle raison de refuser Microsoft openXML
Journal : Faites confiance a Microsoft
Posté par Albert () le 25 avril 2008C'est rigolo ca doit etre le fait de la popularite de IIS par rapport a Apache qui fait que ce genre de probleme n'arrive qu'avec les logiciel de cette boite!
> Lire le journal (72 commentaires, moyenne: 2,7).
Des liens !
Source ?
-
[^]Re: Des liens !
Posté par modr123 () le 25/04/2008 à 18:51. (lien). Évalué à 5.http://www.generation-nt.com/windows-vulnerabilite-microsoft(...)
mais de la a dire que c'est ça
m'enfin l'essentiel des serveurs iss etant du webparking ça genera pas
dredi tout est permis--
pour protester contre la dadvsi , je n'achete plus de produit soumis au droit d'auteur ou voisins-
[^]Re: Des liens !
Posté par Elephant (page perso, ) le 25/04/2008 à 18:56. (lien). Évalué à 7.En réalité c'est le petit nom du logiciel c'est IIS et pas ISS. Mais je pense que tu as dit ça dans un état d'esprit soixant-huitard (c'est la mode)
Tous ensemble : IIS SS ! IIS SS !-
[^]Re: Des liens !
Posté par FärvÄrdiN (page perso, ) le 25/04/2008 à 19:07. (lien). Évalué à 4.http://www.f-secure.com/weblog/archives/00001427.html
"There's another round of mass SQL injections going on which has infected hundreds of thousands of websites.
Performing a Google search results in over 510,000 modified pages."
cool :)--
RMS is like sex, it's better when it's clean...
-
[^]Re: Des liens !
Posté par GCN (Jabber id, page perso, ) le 25/04/2008 à 19:12. (lien). Évalué à 6.Meuh nan, ISS c'est l'International Space Station, cette grosse structure metallique qui tourne autour de la terre, dans l'espace, à l'endroit même ou on devrait expédier tous les serveur IIS de la planète :).
-
[^]Re: Des liens !
Posté par petit_bibi () le 25/04/2008 à 19:24. (lien). Évalué à 6.à l'endroit même ou on devrait expédier tous les serveur IIS de la planète
Ah non, il y a déjà trop de déchets par la-bas.
http://www.futura-sciences.com/fr/sinformer/actualites/news/(...)
Et pourquoi pas à Naples tant nous y sommes !
-
-
-
[^]Re: Des liens !
Posté par FärvÄrdiN (page perso, ) le 25/04/2008 à 19:21. (lien). Évalué à 2.m'enfin l'essentiel des serveurs iss etant du webparking ça genera pas
pas forcément.
faites une recherche à "script src=http://www.nihaorr1.com"
http://www.google.com/search?hl=en&q=%22script+src%3Dhtt(...)
il y a 10 minutes, j'avais 300 000 réponses (contre 500 000 dans la nouvelle), maintenant c'est passé à 32 000.
J'ai vu genre des banques, offices de tourismes, agences de voyages ou compagnies aérienne. En allant sur la page, il n'y a plus trace de cela sur bcp d'entre eux, on dirait que cela été corrigé avec des mises à jour. J'ai l'impression que google a déjà réindexé bcp de pages qui n'ont plus ce problème.--
RMS is like sex, it's better when it's clean...
-
-
[^]Re: Des liens !
Posté par Albert () le 25/04/2008 à 19:17. (lien). Évalué à 3.oups oublie les liens:
naturellement c'est du /. :)
http://it.slashdot.org/it/08/04/25/1358234.shtml
http://blog.washingtonpost.com/securityfix/2008/04/hundreds_(...)
c'est vendredi alors bon il faut bien commencer le we avec une bonne tranche de rigolade non? :)
Mes yeux !!!!
Ça pique !
C'est pourtant pas compliqué :
"Confiez" ça sonne comme un "é" pas comme un "ait"
-
[^]Re: Mes yeux !!!!
Posté par libre Cuauhtémoc (page perso, ) le 25/04/2008 à 22:38. (lien). Évalué à 4.toi, tu n'es jamais parti dans le sud
-
[^]Re: Mes yeux !!!!
Posté par jms (Jabber id, ) le 26/04/2008 à 08:35. (lien). Évalué à 3.c'est encore à cause de la télé ça !
"Papaaaa ? C'est quoi cette bouteille de lé ?"
:-)-
[^]Re: Mes yeux !!!!
Posté par libre Cuauhtémoc (page perso, ) le 26/04/2008 à 08:44. (lien). Évalué à 4.Mais vous avait pas comepris qu'Aleubert venait de Monepelliai
-
[^]Re: Mes yeux !!!!
Posté par Jean-Philippe Garcia Ballester (Jabber id, page perso, ) le 26/04/2008 à 09:12. (lien). Évalué à 2.comepris [...] Aleubert [...] Monepelliai
Mais c'est pas possible de faire des fautes aussi enormes ! Tu es dyslexique ou quoi !-
[^]Re: Mes yeux !!!!
Posté par windu.2b (Jabber id, page perso, ) le 26/04/2008 à 10:42. (lien). Évalué à 8.[root@localhost ~]# modprobe humour
FATAL: Module humour not found.
:-/-
[^]Re: Mes yeux !!!!
Posté par Benoît Guédas (Jabber id, page perso, ) le 27/04/2008 à 00:21. (lien). Évalué à 5.C'était une blague, hein... cette personne ayant déjà dit qu'elle était dyslexique...
-
[^]Re: Mes yeux !!!!
Posté par windu.2b (Jabber id, page perso, ) le 27/04/2008 à 13:33. (lien). Évalué à 2.Ah...
Comme quoi, on n'est pas toujours prophète en son pays !
Mais bon, tous ceux qui m'ont plussé devaient penser comme moi, je suppose (mais non, je vous balance pas !)...
[Mode "je me rattrape aux branches"]
Et puis de toute façon, j'ai fait une commande en root, ça prouve bien que ça ne pouvait que m'être adressé ! Je n'ai quand même pas un accès root à ton cerveau (si ?).
:-p
[/Mode "je me rattrape aux branches"]-
[^]Re: Mes yeux !!!!
-
-
-
-
[^]Re: Mes yeux !!!!
Posté par Axel R. (page perso, ) le 26/04/2008 à 11:53. (lien). Évalué à 5.moi je vote pour "ou quoi" !
-
[^]Re: Mes yeux !!!!
-
-
-
-
[+] Toujours le meme amas de conneries
C'est rigolo ca doit etre le fait de la popularite de IIS par rapport a Apache qui fait que ce genre de probleme n'arrive qu'avec les logiciel de cette boite!
http://www.zone-h.org/content/view/14928/30/
Webserver defaced
Year 2005 Year 2006 Year 2007
Apache 308.281 486.294 319.439
IIS/6.0 72.338 180.926 113.935
IIS/5.0 99.616 66.304 23.664
319000 contre 136000
Un ratio bien plus eleve que le ratio Apache / IIS
Tu es un veritable champion mon cher Albert
-
[+] [^]Re: Toujours le meme amas de conneries
Posté par Jeff_ (Jabber id, ) le 25/04/2008 à 20:42. (lien). Évalué à -7.en dessous du commentaire précédent, ne pas lire
Ce commentaire est-il pertinent ou inutile ?
mais
Cet utilisateur est-il pertinent ou inutile ?
~~>[]--
"L'informatique, c'est comme le sexe : c'est mieux quand c'est gratuit" [Linus]
-
[^]Re: Toujours le meme amas de conneries
Posté par Snarky (Jabber id, page perso, ) le 25/04/2008 à 20:46. (lien). Évalué à 10.Hum... En parlant de conneries....
On parle de sécurité des serveurs. Et toi tu nous parle de sites défacé....
Sache que la quasi-totalité des défacages sont dûs à des failles dans le codes des sites et pas aux serveurs !!! Donc c'est pas comparable.
Je me suis fait défacé mon site y'a pas longtemps... Et AUCUN rapport avec la sécurité du serveur. Juste une petite faille dans mon code php.--
Milite pour un about:black sur les navigateurs ! (Sauvons la planète)-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 25/04/2008 à 20:53. (lien). Évalué à 0.Oh ca je sais, mais en theorie la repartition des problemes dans des pages ASP / PHP / ... est probablement similaire, les gens ne font pas forcement plus d'erreurs quand ils font du PHP avec Apache que de l'ASP avec IIS ou vice-versa.
Bref, les chiffres en absolus ne veulent rien dire, mais le ratio lui signifie qqe chose.-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 25/04/2008 à 20:56. (lien). Évalué à 7.> les gens ne font pas forcement plus d'erreurs quand ils font du PHP avec Apache que de l'ASP avec IIS ou vice-versa.
Donc j'en conclus qu'Apache est plus utilisé.-
[^]Re: Toujours le meme amas de conneries
-
[^]Re: Toujours le meme amas de conneries
Posté par libre Cuauhtémoc (page perso, ) le 25/04/2008 à 22:37. (lien). Évalué à 3.et donc que la meilleure sécurité d'apache n'est pas lié au fait qu'il est moins utilisé
-
[+] [^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 25/04/2008 à 22:48. (lien). Évalué à -2.T'as mal suivi mon cher, Apache :
a) Est plus attaque
b) A plus de sites defaces
c) A plus de vulnerabilites reportees-
[^]Re: Toujours le meme amas de conneries
Posté par libre Cuauhtémoc (page perso, ) le 25/04/2008 à 23:39. (lien). Évalué à 4.C'est le nombre de faille ou la sévérité de la faille la plus sévère qui doit être compté ?
-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 00:15. (lien). Évalué à 2.Peut importe, dans les 2 cas Apache perd :
IIS 6 http://secunia.com/product/1438/?task=advisories
5 vulnerabilites, 1 niveau 4, 2 niveau 3, toutes patchees
Apache 2.x http://secunia.com/product/73/?task=advisories
37 vulnerabilites, 2 niveau 4, 10 niveau 3, 4 non patchees (ce qui ne veut rien dire, car ces 4 ne sont pas des vuln. reellement importantes)-
[^]Re: Toujours le meme amas de conneries
Posté par libre Cuauhtémoc (page perso, ) le 26/04/2008 à 13:36. (lien). Évalué à 1.et d'un point de vue objectif ?
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par Will Hunting () le 25/04/2008 à 23:42. (lien). Évalué à 4.Je croyais que les vulnérabilités reportées d'une version à l'autre, c'était propre aux produits MS moi.
-
[^]Re: Toujours le meme amas de conneries
Posté par suJeSelS (Jabber id, ) le 26/04/2008 à 08:52. (lien). Évalué à 9.c) A plus de vulnerabilites reportees
C'est normal, c'est un logiciel libre, donc il y a plus de gens qui le testent, auditent le code, etc... donc il y a beaucoup plus de rapport de sécurité, un plus grand nombre de ses failles sont trouvées, et il en devient donc plus fiable.
-
-
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par modr123 () le 25/04/2008 à 22:02. (lien). Évalué à 5.le ration non plus ne veut rien dire
on ne connait pas la nature des sites un site pro se fera moins defacés qu'un site d'amateur
moi j'en conclut juste que les amateurs sont sur-representé dans les sites defacés et que les amateurs utilisent plus apache que iis--
pour protester contre la dadvsi , je n'achete plus de produit soumis au droit d'auteur ou voisins
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par flagos () le 25/04/2008 à 20:54. (lien). Évalué à 2.J'ai peut être loupé un épisode, mais j'aimerais bien savoir quoi penser de son lien:
"Therefore the attacks migrated as well, as Linux is now the most attacked operating system with 1.485.280 defacements against 815.119 in Windows systems (numbers calculated from 2000)."
C'est dû à la faille critique du noyau d'il y a quelques mois que des admins un peu feignasses n'auraient pas patchés ou le problème est plus grave ?-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 25/04/2008 à 21:00. (lien). Évalué à 2.L'évaluation est super complexe.
Les sites GNU/Linux sont souvent des petits sites pas toujours très bien maintenu. Il y a évidemment des sites plus "professionnels", mais la proportion de ses derniers pour Linux doit être plus faible que pour Windows.
-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 25/04/2008 à 21:02. (lien). Évalué à 2.Je pense pas que cela ait a voir avec l'OS lui-meme, le nombre de defacages dus a une faille de l'OS sont probablement tres faibles compare au reste, si les gens avaient fait tourner Apache sur Windows et IIS sur Linux, tu te serais probablement retrouve avec les chiffres inverses.
-
[^]Re: Toujours le meme amas de conneries
Posté par windu.2b (Jabber id, page perso, ) le 25/04/2008 à 23:45. (lien). Évalué à 5."IIS sur Linux"
Si j'en crois l'ami Wikipédia, IIS n'existe pas pour Nunux !
Du coup, c'est peut-être ça la sécurité ultime : un serveur Web incompatible avec un OS de serveurs !
Accroche-toi pour réussir à faire du défaçage... Mouwahahaha-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 00:20. (lien). Évalué à 2.Ca marche pas avec Wine ? :+)
-
[^]Re: Toujours le meme amas de conneries
Posté par inico (Jabber id, page perso, ) le 26/04/2008 à 21:07. (lien). Évalué à 6.Il me semblait que c'etait interdit dans l'EULA ...
Bon, qui a une vieille version de PWS/IIS (c'est la même chose niveau binaire) pour Windows NT 4 que je teste ?--
"Les États-Unis sont le seul pays à être passé de la barbarie à la décadence sans connaître la civilisation." -- (origine réelle inconnue) Albert Einstein/Oscar Wilde/Georges Clemenceau/etc..
-
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par Albert () le 25/04/2008 à 22:00. (lien). Évalué à 5.ce qu'il y a de beaucoup plus rigolo a regarder comme stats ce sont celles de secunia.
Pour une distrib linux classique (desole j'ai pris ubuntu 6.10 donc pas une LTS mais vous pouvez en prendre une autre):
http://secunia.com/product/12470/?task=statistics
et Vista:
http://secunia.com/product/13223/?task=statistics
Je trouve assez rigolo de voir que des failles sont non corriges (et je me moque du degre de vulnerabilite, une faille c'est une faille) pour cet OS qui coute excessivement cher et qui a un support en proportion inverse a son prix. De l'autre cote on voit que toutes les failles de ubuntu sont corrige. Au passage cela ne sert a rien de dire que ubuntu a eu 200 failles et Vista seulement 30 vu que dans les failles ubuntu il y a des trucs tel que gnumeric, poppler, unzip etc de compris. Je ne regardais pas le type de faille mais juste la facon donc c'etait traite pas chaque vendeur ou fournisseur.
Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!-
[+] [^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 25/04/2008 à 22:17. (lien). Évalué à -7.e trouve assez rigolo de voir que des failles sont non corriges (et je me moque du degre de vulnerabilite, une faille c'est une faille) pour cet OS qui coute excessivement cher et qui a un support en proportion inverse a son prix.
Genial, en fait tout ce qui t'interesse c'est de compter, sans regarder la substance. Que la faille n'en soit pas vraiment une n'est qu'un detail.
Bref, tes posts sont toujours aussi interessants et constructifs.
En passant, Ubuntu inclut Firefox ? Parce que http://secunia.com/product/12434/
marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.
Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!
Vraiment, tes piques pourraves on s'en fout, tu ne fais que renforcer ton image de guignol avec ton comportement de gamin ecervele.-
[^]Re: Toujours le meme amas de conneries
Posté par Charles-Victor DUCOLLET () le 25/04/2008 à 22:41. (lien). Évalué à 6.Mmmm, je serais toi (ce qui n'est pas le cas Saint RMS benis soit tu..) j'eviterais de faire une remarque de ce genre sachant que c'est EXACTEMENT ton profil que du viens de decrire...
-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 25/04/2008 à 22:57. (lien). Évalué à 4.> marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.
Non, ce n'est pas normal.
Mais c'est mieux que IE 7 :-)
Pour Firefox : 17 %
IE 7 : 33 %-
[+] [^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 00:19. (lien). Évalué à -1.Si c'est tout a fait normal, mais tu es libre d'aller expliquer a Mozilla, Apache, MS, ... que tu es meilleur juge qu'eux quand a la severite de ces problemes, mon petit doigt me dit qu'ils te riront tous au nez, et c'est normal, car on(Apache, Mozilla, nous, ...) fait ce boulot depuis des annees et on sait comment juger une vuln. et decide si et quand elle doit etre corrigee.
-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 00:47. (lien). Évalué à 2.> Si c'est tout a fait normal
Non, ce n'est pas normal, c'est explicable.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
Si tu arrives en retard à un rendez-vous, tu vas trouver ça normal car personne arrive à l'heure à tous ses rendez-vous ?
Désolé, mais pas moi.
> juger une vuln. et decide si et quand elle doit etre corrigee.
Juger une vulnérabilité, la corriger (et de suite s'il y a pas de vulnérabilité plus grave), et decide si et quand elle doitpeut être diffusée.
Elle doit être corrigée.
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 01:16. (lien). Évalué à 2.Non, ce n'est pas normal, c'est explicable.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
Rien a voir _du tout_
Tu jettes un oeil a FireFox 2.0 : http://secunia.com/product/12434/?task=advisories
Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
Tu vas jeter un oeil a Apache 2.0x : http://secunia.com/product/73/
et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.
Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 01:55. (lien). Évalué à 4.> Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
Bullshit.
Où tu as vu cette décision ?
> http://secunia.com/product/12434/?task=advisories
(4 out of 23) are marked as Unpatched
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Dans les 4 qui restent :
* http://secunia.com/advisories/27907/
Fin 2007, pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).
* http://secunia.com/advisories/25481/
Deux rapports de bug chez mozilla (dont un corrigé), donc mozilla y travaille. Donc Mozilla n'a pas décidé de ne pas les corriger.
* http://secunia.com/advisories/24153/
Pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).
* http://secunia.com/advisories/23046/
Un rapport de bug chez mozilla, le bug est corrigé. On peut voir qu'il y a eu une grosse activité pour corrigé cette faille, il n'a pas été décidé de l'ignorer.
Bref, il y a deux failles dont on ne sait pas s'il y a une activité ou non, ou s'ils sont ignorés ou non.
Je n'ai pas vu Mozilla dire "faille normale, on laisse filer".
Mais merci de nous apprendre que MS se torche le cul de certains faille de sécurité.
> http://secunia.com/product/73/
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 02:08. (lien). Évalué à 0.Bullshit.
Où tu as vu cette décision ?
Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 02:31. (lien). Évalué à 2.> Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
T'arrêtes de mentir ?
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Donc pour toutes celle où on a des infos, Mozilla y travaille.
Est-ce que pour les deux où on n'a pas d'info, tu as des infos ?
Ben non.
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
> il est normal que ces 4 et pas plus ne soit pas corrigees.
Non, il n'est pas normal. 2 de ces 4 failles ont est sûr que mozilla y travaille. les 2 autres, on ne sait rien. Mais as-tu des infos pour ces dernières ?
Sur un total de probablement plus de 100 failles (voire plus), Mozilla les a corrigé (ou c'est en vendor patch) ou mozilla y travaille, et il n'y a que 2 failles dont on n'a pas d'info.
> Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Ton truc c'est de pousser des conneries en espérant que les gens n'auront pas la volonté de vérifier. Manque de chance pour toi, je suis allé vérifier.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 02:45. (lien). Évalué à 2.T'arrêtes de mentir ?
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Une est corrigee / en developpement oui.
2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant
L'autre, c'est simple : https://bugzilla.mozilla.org/show_bug.cgi?id=380994
Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
Given this is sg:low/dos taking off the blocker list - we'd certainly take a
patch..
Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 02:47. (lien). Évalué à 2.Correction, c'est pas "plus de 2 ans", mais "plus d'un an", "plus de 2 ans" c'est pour Apache.
-
[+] [^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 02:58. (lien). Évalué à -3.> Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
T'es un connard.
Un truc bloquant, c'est un truc qui empêche une release. Ne pas le mettre en bloquant ne veut pas dire qu'on s'en fout.
> t'interprete comment le fait de ne pas corriger
Tu (et moi aussi) n'en sait foutrement rien si mozilla travaille dessus ou non.
Alors fais un rapport de bug sur mozilla, et revient nous dire si la réponse de Mozilla est "on s'en torche".
T'es un connard, j'en ai plein le cul de ton fud.
PS: oui c'est mal d'insulter les gens.-
[^]Re: Toujours le meme amas de conneries
Posté par Duncan Idaho (Jabber id, page perso, ) le 28/04/2008 à 15:32. (lien). Évalué à 2.et toi t'es un kéké.
PS : mais des fois ça fait du bien.
-
-
-
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par Vador Dark (Jabber id, ) le 27/04/2008 à 01:56. (lien). Évalué à 2.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Tu pourrais nous en dire plus sur ces fausses vulnérabilités?
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par moramarth () le 26/04/2008 à 14:29. (lien). Évalué à 8."tu es libre d'aller expliquer a Mozilla, Apache, MS, ... que tu es meilleur juge qu'eux quand a la sévérité de ces problèmes, mon petit doigt me dit qu'ils te riront tous au nez, et c'est normal, car on(Apache, Mozilla, nous, ...) fait ce boulot depuis des années et on sait comment juger une vuln."
Je crois que c'est le fond du problème : des "experts" jugent, c'est plus ou moins le bordel (d'ailleurs, il semble que la marque de fabrique de l'humanité soit le plan foireux), et finalement, "on" se retrouve à noyer le poisson et à user jusqu'à la corde de l'argument d'autorité pour fermer le clapet des béotiens qui osent contester quand ils ont des problèmes. Pourtant, c'est encore eux qui vivent le résultat, grandeur nature, in vivo. La preuve de la fatuité de l'argument d'autorité ? Le "on" défini comme Apache, Mozilla, nous (Microsoft), ... comme experts en la matière, ce "on" n'est pas d'accord entre eux.
Alors ? Alors ce "on", ce n'est que le "nous" de la définition : un employé de Microsoft est exaspéré de voir ses efforts ainsi dénigrés, ça l'irrite, il regimbe et finalement tente de se retrancher derrière l'argument d'autorité "C'est notre boulot, c'est nous qui le faisons et qui savons le faire. Ne faîtes pas chier, faîtes nous confiance". Je crains que tu n'aies toujours pas plus de reconnaissance pour autant. Surtout ici à LinuxFr...
Pour te remonter le moral, une petite citation d'un type de Microsoft que j'apprécie (et oui ! Ça existe !) qui est Jim Allchin :
"I would buy a Mac today if I was not working at Microsoft." J'achèterais un Mac aujourd'hui si je ne bossais pas à Microsoft.
Je suis complètement d'accord avec ce monument de clairvoyance et d'impartialité :).
http://blog.seattlepi.nwsource.com/microsoft/archives/110354(...)
PS : pour le débat sur la notation de commentaire, bien que j'ai beaucoup aimé ce commentaire parce que je le trouve très révélateur et concis, je l'ai moinsé parce que je pense que pBpG tient des propos incohérents. C'est difficile de délimiter les critères aboutissant à un pertinent ou à un inutile, et encore plus de savoir vers où penche la balance...--
Citoyen moramarth
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par Benjamin Lannoy (Jabber id, page perso, ) le 25/04/2008 à 23:30. (lien). Évalué à 3.L'important n'est pas le nombre de failles, mas le temps qu'il faut avant qu'elles soient corrigées.
-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 00:27. (lien). Évalué à 2.Oui et non, le probleme ici c'est comment mesurer cela.
Tu mesures par rapport a la date ou le rapport de bug est fait a RH/Debian/MS/... ? Par rapport au moment ou le gars annonce le bug publiquement(qui pourrait etre 1,2,3,... mois plus tard ou le jour ou il trouve le bug) ?
C'est un exercice assez perilleux, car on n'a aucune idee d'habitude de la date ou le bug a ete rapporte a l'editeur, et se baser sur la difference entre le patch sorti et l'annonce ne vaut pas grand-chose vu que dans la plupart des cas ils coincident.-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 00:59. (lien). Évalué à 2.Dans le logiciel libre, ces infos ne sont pas masquée.
Elles peuvent être tenu secrètes le temps qu'un corrictif soit réalisé.
Voir par exemple :
http://www.securityfocus.com/archive/1/archive/1/484818/100/(...)
======================================================================
6) Time Table
22/11/2007 - Vendor notified.
22/11/2007 - vendor-sec notified.
23/11/2007 - Vendor response.
10/12/2007 - Public disclosure.
======================================================================
7) Credits
Discovered by Alin Rad Pop, Secunia Research.
Pour le logiciel libre, l'audit est fait par tout le monde. Donc s'il y a triche sur les dates, ça va se savoir. Par exemple Alin Rad Pop de ce rapport pourrait gueuler.
Par contre, c'est sûr que MS bidonne ses dates de découverte des failles.-
[+] [^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 02:14. (lien). Évalué à -1.Tu melanges tout mon cher.
Le lien que tu as donne, il vient directement de la personne qui a trouve le bug, il vient pas de Samba.
Jettes un oeil aux advisories de Redhat, Debian, ... aucune d'elles ne donne la date ou le bug leur a ete rapporte(idem pour MS hein).
La seule maniere, c'est que le gars qui a decouvert la chose se manifeste et donne la date, chose qui est faisable quel que soit l'editeur hein vu que le gars qui trouve la faille ne bosse pas pour eux, mais que peu de gens font(eEye en est un).-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 02:51. (lien). Évalué à 3.> Jettes un oeil aux advisories de Redhat
Red Hat fournit ces dates.
Red Hat remonte systématique les failles qu'ils découvrent au projet upstream (aux personnes chargées de la sécurité). Il en est de l'intérêt de Red Hat. Red Hat fait suivre sur vendorsec, CVE, etc. Si Red Hat ne le fait pas, il se fait allumer. Ce qui bien normal. Red Hat est dans une communauté, et si un déconne, il se fait salement remarquer.
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...)
1 faille sur 2 sont connues par Red Hat avant la publication (via différents moyens, voir ici : http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...) ). Seulement 8 % de ces failles sont découvertes par Red Hat.
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...) est fait depuis les données brutes qu'on trouve ici :
https://www.redhat.com/security/data/metrics/
Arrêtes avec tes mensonges de merde.-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 03:26. (lien). Évalué à 2.Un exemple concret pour que tu arrêtes avec tes conneries :
https://www.redhat.com/security/data/oval/com.redhat.rhsa-20(...)
<advisory from="secalert at redhat.com">
<cve href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0(...)
</cve>
−
<bugzilla href="http://bugzilla.redhat.com/435773" id="435773">
Dès que le bug est découvert par Red Hat, un ticket CVE est fait (d'où le titre bugzilla avec "CVE-2008-0887 ...").
On voit que Red Hat fait le CVE avant qu'il ait un correctif.
https://bugzilla.redhat.com/show_bug.cgi?id=435773
Comment #19 From Mark J. Cox (Security Response Team) on 2008-04-02 04:03 EST [reply]
embargo was agreed as apr02 with vendor-sec; removing embargo.
On a la date de découverte, la date de publication, la date des mises à jours pour Red Hat/Fedora. Red Hat/Fedora ne publie qu'à la fin de l'embargo.
Es-ce que MS a ce type de gestion des failles de sécurité ? C'est-à-dire où tout est public (avec un embargo évidemment le temps de réaliser le correctif).
Es-ce que MS envoyes ses découverte de faille de CVE ?
"Biensûr" que non. La date de découverte des failles de sécurité par MS, on ne la connait pas.-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 03:32. (lien). Évalué à 2.En passant, toutes les distributions font comme Red Hat. Idem pour IBM s'il découvert une faille, etc.
-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 03:46. (lien). Évalué à 2.> En passant, toutes les distributions font comme Red Hat.
Pour exemple, le CVE soumit par Red Hat a fait un bugzilla chez Gentoo (avant la fin de l'embargo) :
http://bugs.gentoo.org/show_bug.cgi?id=213940-
[^]Re: Toujours le meme amas de conneries
-
-
-
-
-
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 00:50. (lien). Évalué à 3.Red Hat a fait un rapport intéressant sur RHEL 4 :
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...)
L'accent est mis sur les jours de risques. Pour Firefox, c'est 2,2 jours en moyenne pour les vulnérabilités critiques et importantes.-
[^]Re: Toujours le meme amas de conneries
Posté par pasBill pasGates () le 26/04/2008 à 02:19. (lien). Évalué à 1.Ce qui montre exactement ce que je dis : cela ne veut _rien_ dire.
Mozilla n'a jamais patche toutes ces vulnerabilites en moyenne en 2.2 jours apres que le bug leur ait ete rapporte.
Ces chiffres sont bases sur le temps entre l'annonce publique du bug et la sortie du patch, hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.-
[+] [^]Re: Toujours le meme amas de conneries
Posté par IsNotGood () le 26/04/2008 à 03:03. (lien). Évalué à -2.> hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.
Lis le rapport connard, 1 failles sur deux est connue avant sa publication par Red Hat (et donc le projet upstream et donc CVE et donc on a la date de la découverte si le "secrétaire" de CVE ou vendorsec, etc ont fait leur boulot).
-
[^][HS] Re: Toujours le meme amas de conneries
Posté par syntaxerror () le 26/04/2008 à 12:47. (lien). Évalué à 1.Ah non, pas toi! tu ne vas pas t'y mettre aussi!
http://fr.wikipedia.org/wiki/Or_mais_ou_et_donc_ni_car#Conjo(...)
(je sais, à force de lire des conneries, on finit par en écrire)
-
-
-
-
[^]Re: Toujours le meme amas de conneries
Posté par modr123 () le 26/04/2008 à 01:39. (lien). Évalué à 3.http://linuxfr.org/comments/925847,1.html
tu as fait la même chose la--
pour protester contre la dadvsi , je n'achete plus de produit soumis au droit d'auteur ou voisins
-
-
-
Cette page a été générée par Templeet en 0.2326s (dont 0.0182 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.