Microsoft offre un demi-million de dollars pour la tete de l'auteur de MSBlast
Guillermito
En anglais:
http://www.theregister.co.uk/content/55/33792.html
En français:
http://www.zdnet.fr/actualites/technologie/0,39020809,39128871,00.htm
Pathétique. Ils devraient utiliser cet argent pour embaucher des
programmeurs qui savent éviter les buffer overflow.
--
Guillermito
http://www.guillermito2.net
Roland Garcia
> Comme au temps du far-west:
>
> En anglais:
> http://www.theregister.co.uk/content/55/33792.html
>
> En français:
> http://www.zdnet.fr/actualites/technologie/0,39020809,39128871,00.htm
>
> Pathétique. Ils devraient utiliser cet argent pour embaucher des
> programmeurs qui savent éviter les buffer overflow.
Ils cherchent à noyer le poisson:
http://www.01net.com/article/221908.html
ce qui en dit long sur la confiance qu'ils ont quant à leur capacité de
boucher leurs propres failles....
Roland Garcia
Roland Matteoli
> Pathétique. Ils devraient utiliser cet argent pour embaucher des
> programmeurs qui savent éviter les buffer overflow.
Ou pour embaucher quelques hackers pour les aider à sécuriser
leur OS.
--
Roland Mattéoli
(pour répondre, enlever ".inv4lid" de l'adresse Email)
AMcD
Je trouve le procédé assez lamentable, certes, mais bon... N'est-ce pas là
un moyen comme un autre d'essayer de limiter les futures vocations ?
Il ne faut pas rêver ! Les OS deviennent de plus en plus complexes pour ne
pas dire improgrammables. Écrire du code malveillant devient, certes plus
difficile (il faut avoir un bon niveau), mais... à la fois facile également
(tellement de possibiltés de bugs !).
Hier Roland parlait d'un bouquin. Si tu dois appliquer à la lettre tout ce
qu'il y a dedans il te faudra 8 mois pour sortir un programme de 10k lignes.
Et encore, je vois large...
Alors, je ne crois pas qu'il y ait une solution miracle pour écrire du code
ultra-sûr. Rentabilité oblige, il sera difficile de faire admettre aux
payeurs d'une boîte de vérifier, tester, prouver du code avant de mettre sur
le marché. De beaux discours, oui. Des actions qui coûtent cher, moins...
Regarde la fusée ariane qui s'est écrasée il ya quelque années à cause d'un
bug en ada. Pourtant là, le code est prouvé ! C'est tout bonnement devenu
impossible d'écrire un code à 100% sûr.
Alors, même s'il faut exiger un maximum des éditeurs de logiciels, pourquoi
ne pas ajouter aussi un volet repressif ? Après tout, le gars à
volontairement lâché son truc non ? Il savait ce qu'il faisait ! Au bout
d'un moment, il faut assumer. Après, que ce soit via des lois ou à la
cow-boy...
--
AMcD
http://arnold.mcdonald.free.fr/
JacK
Roland Garcia <roland...@wanadoo.fr> signalait:
Tiens : deux autres brèves de comptoir :
Chambord
Guillermito a écrit :
>
> Comme au temps du far-west:
> En français:
> http://www.zdnet.fr/actualites/technologie/0,39020809,39128871,00.htm
Je comprends que tu t'interesses à ce sujet vu que tu nous as dit en
avoir approché. C'est pour te dire aussi que je suis ton ami au cas ou
tu toucherais le jackpot et que je m'empresse à te donner mon numéro de
compte en banque pour y faire virer tout trop plein.
C'est dommage que tu as l'air de faire la fine bouche ça permettrait
pourtant de mettre la main sur ceux qui enfoncent encore plus
l'informatique
du tiers monde , voir comme exemple message "hôpital au Mozambique."
lundi 3 Nov 2003 20h 27 qui doit pas ressembler à celui de Boston.
Roland Garcia
> Ouimaisouimaisouimais...
>
> Alors, même s'il faut exiger un maximum des éditeurs de logiciels, pourquoi
> ne pas ajouter aussi un volet repressif ? Après tout, le gars à
> volontairement lâché son truc non ? Il savait ce qu'il faisait ! Au bout
> d'un moment, il faut assumer. Après, que ce soit via des lois ou à la
> cow-boy...
Sauf que c'est du n'importe quoi (de l'affolement ?) à la debeuliou.....
Roland Garcia
Roland Garcia
> C'est dommage que tu as l'air de faire la fine bouche ça permettrait
> pourtant de mettre la main sur ceux qui enfoncent encore plus
> l'informatique
> du tiers monde , voir comme exemple message "hôpital au Mozambique."
> lundi 3 Nov 2003 20h 27 qui doit pas ressembler à celui de Boston.
Faudrait quand même veiller à ne pas nous prendre pour des neuneus:
http://www.transfert.net/a9417
depuis le temps vous devriez le savoir....
Roland Garcia
ppc
> Comme au temps du far-west:
> En anglais:
> http://www.theregister.co.uk/content/55/33792.html
Ouais, pour le pays le plus démocratique de la
planète, ils emploient la méthode de
délatation carcérale (leur spécialité !) ou alors
comme autrefois la gestapo :-(
Frederic Bonroy
> C'est dommage que tu as l'air de faire la fine bouche ça permettrait
> pourtant de mettre la main sur ceux qui enfoncent encore plus
> l'informatique
> du tiers monde , voir comme exemple message "hôpital au Mozambique."
> lundi 3 Nov 2003 20h 27 qui doit pas ressembler à celui de Boston.
Ça ne change rien au problème. Ils vont faire ça pour chaque virus
qui exploite une faille dans leurs produits? Ils vont faire faillite.
;-)
Ils rachètent un éditeur d'antivirus, ils offrent du fric pour la
tête des auteurs de virus, bref ils font TOUT sauf améliorer enfin
considérablement la qualité du code. Ce serait pourtant la meilleure
solution...
ppc
> Chambord a écrit :
>
>> C'est dommage que tu as l'air de faire la fine bouche ça permettrait
>> pourtant de mettre la main sur ceux qui enfoncent encore plus
>> l'informatique
>> du tiers monde , voir comme exemple message "hôpital au Mozambique."
Et vous vous êtrez prié de bien vouloir respecter
ses personnes,
efforcer-vous à les citer dès maintenant : "Pays en
voie de Développement" ... Car dans le cas
contraire, ici la seule personne "tiers-monde" ça
sera vous ;-)
Misterjack
AMcD a écrit :
> Il ne faut pas rêver ! Les OS deviennent de plus en plus complexes pour ne
> pas dire improgrammables. Écrire du code malveillant devient, certes plus
> difficile (il faut avoir un bon niveau), mais... à la fois facile également
> (tellement de possibiltés de bugs !).
Quand on sait que pour qu'un logiciel de quelques milliers de lignes
soit reconnut comme fiable et maintenable, il faut faire plancher des
ingénieurs spécialisés pendant des mois... ça laisse à réfléchir pour un
joujou comme Windows.
Mine de rien, les intéractions logiciel-matériel sont très complexes
pour un système d'exploitation. Il est même illusoire de penser qu'un OS
puisse être infaillible.
> Alors, je ne crois pas qu'il y ait une solution miracle pour écrire du code
> ultra-sûr. Rentabilité oblige, il sera difficile de faire admettre aux
> payeurs d'une boîte de vérifier, tester, prouver du code avant de mettre sur
> le marché. De beaux discours, oui. Des actions qui coûtent cher, moins...
Il y a en effet toujours le problème du temps nécessaire au
développement dit "safe", et de ce coûte ce temps. Peu d'entreprise
(dans le domaine du logiciel grand public) peuvent se permettre de
"prendre leur temps" pour sortir un logiciel.
> Regarde la fusée ariane qui s'est écrasée il ya quelque années à cause d'un
> bug en ada. Pourtant là, le code est prouvé ! C'est tout bonnement devenu
> impossible d'écrire un code à 100% sûr.
Pour Ariane5, c'était en fait un oubli de vérification dans l'adaptation
de routines d'Ariane4. Un problème de débit de données dans une liste
circulaire (qui a malheureusement bouclée).
Plus proche de nous, les voitures actuelles avec leurs batteries de
calculateurs. Encore ce matin j'ai entendu une news qui fait vraiment
peur, jugez par vous même : Un constructeur européen a réussi à obtenir
un délai de plus de 5 secondes lors d'un appel de phare sur une voiture
en cours de développement ! (délai entre la commande et l'appel lui-même)
De même, en ce moment, sur un type de voiture EN CIRCULATION, il y a un
risque d'arrêt total du véhicule sans redémarrage possible, et sans
raison apparente. Le problème n'est pas encore résolu ni totalement
identifié chez le constructeur.
De quoi remettre au gout du jour la blague de la voiture sous Windows...
mais sans Windows, et avec uniquement des technologies industrielles
haute qualité... :-(
> Alors, même s'il faut exiger un maximum des éditeurs de logiciels, pourquoi
> ne pas ajouter aussi un volet repressif ? Après tout, le gars à
> volontairement lâché son truc non ? Il savait ce qu'il faisait ! Au bout
> d'un moment, il faut assumer. Après, que ce soit via des lois ou à la
> cow-boy...
J'aime de plus en plus tes posts, AMcD. Au moins quelqu'un qui voit la
réalité comme elle est. Pas jolie, mais bon, faut faire avec ;-)
Amicalement,
--
Mister Jack (MJ)
Pour me répondre souriez et cliquez sur "Répondre".
Roland Matteoli
> Ils rachètent un éditeur d'antivirus, ils offrent du fric pour la
> tête des auteurs de virus, bref ils font TOUT sauf améliorer enfin
> considérablement la qualité du code. Ce serait pourtant la meilleure
> solution...
C'est un aveu d'échec. En tout cas ça peut être interprété comme ça.
AMcD
> Quand on sait que pour qu'un logiciel de quelques milliers de lignes
> soit reconnut comme fiable et maintenable, il faut faire plancher des
> ingénieurs spécialisés pendant des mois... ça laisse à réfléchir pour
> un joujou comme Windows.
> Mine de rien, les intéractions logiciel-matériel sont très complexes
> pour un système d'exploitation. Il est même illusoire de penser qu'un
> OS puisse être infaillible.
Il existe quand même des outils de vérification, des preuves, masi bon...
> Pour Ariane5, c'était en fait un oubli de vérification dans
> l'adaptation
> de routines d'Ariane4. Un problème de débit de données dans une liste
> circulaire (qui a malheureusement bouclée).
Oui. On trouve d'ailleurs un rapport complet sur le Net à ce sujet
intéressant à lire. Bon, désolé j'ai pas le lien là. J'ai surtout mentionné
ce cas car c'est un domaine ou l'intégrité du code est vérifié des dizaines
de fois afin que le matos de Roland puisse finir ses expérience sans
exploser :o). Il n'en reste aps moins que ça marche pas à 100 %.
> J'aime de plus en plus tes posts, AMcD. Au moins quelqu'un qui voit la
> réalité comme elle est. Pas jolie, mais bon, faut faire avec ;-)
Il suffit d'être un peu observateur et d'arrêter la langue de bois à deux
sous. S'il y avait moins d'hypocrites, de faux-cul et d'égoïsme, ça ne
serait pas tout à fait pareil. Mais l'homme est ainsi fait...
PS : Sur ce je vais voir ce qu'il faut faire afin de monter une secte dont
je serai l'inégalable messie cosmoplanétaire (au moins). Nan, paske entre
les mails privés et les déclarations d'amour publiques, il doit y avoir un
truc à faire... MDR.
--
AMcD
http://arnold.mcdonald.free.fr/
Misterjack
AMcD a joyeusement tapoté :
> PS : Sur ce je vais voir ce qu'il faut faire afin de monter une secte dont
> je serai l'inégalable messie cosmoplanétaire (au moins). Nan, paske entre
> les mails privés et les déclarations d'amour publiques, il doit y avoir un
> truc à faire... MDR.
MDR :-D
@Tchao Bye bye !
Chambord
ppc a écrit :
> Et vous vous êtrez prié de bien vouloir respecter
> ses personnes,
> efforcer-vous à les citer dès maintenant : "Pays en
> voie de Développement" ... Car dans le cas
Tiers monde, Pays sous développé , Pays en voie de developpement ...
Le prochain terme politiquement correcte est ?
Frederic Bonroy
> Je trouve le procédé assez lamentable, certes, mais bon... N'est-ce pas là
> un moyen comme un autre d'essayer de limiter les futures vocations ?
Il semblerait qu'un nuage de désespoir flotte au-dessus de Redmond...
> Il ne faut pas rêver ! Les OS deviennent de plus en plus complexes pour ne
> pas dire improgrammables.
Si les systèmes deviennent de plus en plus complexes, c'est en partie
la faute de leurs concepteurs. Faut pas venir me raconter que Microsoft
ne trouve pas un certain plaisir à doter Windows de gadgets. Je trouve
absurde par exemple d'avoir intégré un logiciel de gravure. Il existe
déjà des logiciels pour faire ça. Etait-ce nécessaire d'ajouter ça à
Windows?
Même chose pour IE qui a été intégré uniquement pour embêter la
concurrence, et lui est à l'origine de beaucoup de problèmes. Si IE
n'était pas intégré à Windows et que les utilisateurs étaient obligés
de se procurer eux-mêmes un navigateur, alors je doute qu'il aurait eu
autant de succès...
Tout ça pour dire qu'il faut se décider où sont les priorités: produire
du code propre et sûr, avec pour conséquence d'obliger les utilisateurs
à utiliser des logiciels tiers, ou bien sortir un système qui sait tout
faire mais qui est tellement complexe qu'il cause nombre de problémes?
C'est pourquoi je trouve que la complexité de Windows n'est pas une
excuse. Un système d'exploitation c'est déjà compliqué d'avance, alors
pourquoi rajouter une couche de complexité supplémentaire? Pas de pitié.
> C'est tout bonnement devenu impossible d'écrire un code à 100% sûr.
Personne ne demande du code sûr à 100% car c'est un objectif impossible
à atteindre. Mais on exige que les concepteurs de logiciels se
concentrent sur les choses essentielles, dont la sécurité, au lieu de
passer leur temps à transformer leur système en, je traduis mot-à-mot de
l'allemand, "cochon de laine laitier qui pond des oeufs", c'est-à-dire
un machin qui sait tout faire.
> Alors, même s'il faut exiger un maximum des éditeurs de logiciels, pourquoi
> ne pas ajouter aussi un volet repressif ? Après tout, le gars à
> volontairement lâché son truc non ? Il savait ce qu'il faisait ! Au bout
> d'un moment, il faut assumer. Après, que ce soit via des lois ou à la
> cow-boy...
C'est sûr qu'il n'y a pas de raison de les poursuivre, mais ce n'est
pas le boulot de Microsoft.
Frederic Bonroy
J'ai écrit:
> C'est sūr qu'il n'y a pas de raison de les poursuivre,
Il fallait lire: il n'y a pas de raison de ne pas les poursuivre.
ppc
Cela dépendra de vous, si votre conscience et
culture restera durable!
AMcD
> Il semblerait qu'un nuage de désespoir flotte au-dessus de Redmond...
C'est clair. Mais il y a de quoi l'être aussi...
> Si les systèmes deviennent de plus en plus complexes, c'est en partie
> la faute de leurs concepteurs. Faut pas venir me raconter que
> Microsoft
> ne trouve pas un certain plaisir à doter Windows de gadgets. Je trouve
> absurde par exemple d'avoir intégré un logiciel de gravure. Il existe
> déjà des logiciels pour faire ça. Etait-ce nécessaire d'ajouter ça à
> Windows?
Tatata. Les gadgets, c'est les utilisateurs qui les veulent et les demandent
! Le but d'une entreprise est de faire de l'argent. Si on peut satisfaire le
plaisir et desideratas des utilisateurs à grands coups de technologies
propriétaires qui rapportent de sous... ben on y fonce dedans :o).
> Même chose pour IE qui a été intégré uniquement pour embêter la
> concurrence, et lui est à l'origine de beaucoup de problèmes. Si IE
> n'était pas intégré à Windows et que les utilisateurs étaient obligés
> de se procurer eux-mêmes un navigateur, alors je doute qu'il aurait eu
> autant de succès...
À moitié vrai. Vrai pour le fait que Kro a tout fait pour écarter la
concurrence. Faux dans le sens ou il a fallu attendre aujourd'hui pour voir
Mozilla prétendre dépasser IE. Si IE s'est imposé, c'est pas seulement parce
qu'il était livré avec les machines ou habilement imbriqué au système :
quiconque à souffert avec les [biiiip] netscape ou ramé pour faire des sites
potables avec Opera partagera sans soucis mon avis.
> Tout ça pour dire qu'il faut se décider où sont les priorités:
> produire
> du code propre et sûr, avec pour conséquence d'obliger les
> utilisateurs
> à utiliser des logiciels tiers, ou bien sortir un système qui sait
> tout faire mais qui est tellement complexe qu'il cause nombre de
> problémes?
Je ne te suis pas. À moins de technologie ouverte (l'hérésie de tout système
économique) je ne vois pas comment un logiciel tiers peut être plus sûr que
ceux écrits par les auteurs de l'OS... Pour être sûr, il faut y passer du
temps. C'est tout. Peu importe qui écrit.
> C'est pourquoi je trouve que la complexité de Windows n'est pas une
> excuse. Un système d'exploitation c'est déjà compliqué d'avance, alors
> pourquoi rajouter une couche de complexité supplémentaire? Pas de
> pitié.
En poussant ton raisonnement à fond, on aurait encore le Web en mode texte
et des OS console...
> Personne ne demande du code sûr à 100% car c'est un objectif
> impossible
> à atteindre. Mais on exige que les concepteurs de logiciels se
> concentrent sur les choses essentielles, dont la sécurité, au lieu de
> passer leur temps à transformer leur système en, je traduis mot-à-mot
> de l'allemand, "cochon de laine laitier qui pond des oeufs",
> c'est-à-dire
> un machin qui sait tout faire.
Les développeurs font ce qu'on leur dit de faire. Plus exactement, essaient
de rendre quelque chose de pas trop buggé dans le temps qui leur est
imparti. C'est pas eux qui décident des fonctionnalités, c'est pas eux qui
demandent à insérer des gadgets.
--
AMcD
http://arnold.mcdonald.free.fr/
ppc
> Frederic Bonroy wrote:
[...]
Tu sais pas resumer ? Que c'est fatigant de de lire
rabācher, ą la fin on perds le fils ... :-(
Rémi
>
> Tatata. Les gadgets, c'est les utilisateurs qui les veulent et les demandent
Mouais c'est un peu facile d'accuser les utilisateurs "de base" (dont je
fais partie) de tous les maux. Dans le domaine des nouvelles techno (et
pas seulement dans ce domaine d'ailleurs) c'est bien souvent l'offre qui
guide la demande et pas l'inverse. Si on n'avait jamais proposé aux
utilisateurs d'autres fonctionnalité que celles de win95 (en essayant
quand même d'améliorer la stabilité, la sécurité) ils s'en seraient
satisfaits.
> À moitié vrai. Vrai pour le fait que Kro a tout fait pour écarter la
> concurrence. Faux dans le sens ou il a fallu attendre aujourd'hui pour voir
> Mozilla prétendre dépasser IE. Si IE s'est imposé, c'est pas seulement parce
> qu'il était livré avec les machines ou habilement imbriqué au système :
> quiconque à souffert avec les [biiiip] netscape ou ramé pour faire des sites
> potables avec Opera partagera sans soucis mon avis.
Tu parles des soucis avec netscape mais c'est quand même grâce à IE 5
que des tas de gens ont été infectés par des virus divers et variés
(kakworm pour moi -j'ai eu de la chance c'était pas un méchant- ce qui
m'a donné envie de m'intéresser à la façon de se protéger de ces
saloperies).
La raison essentielle de sa domination c'est quand même son intégration
à win. La plupart des utilisateurs de IE n'imaginent même pas qu'il
existe d'autres logiciels pour naviguer sur internet.
--
enlever 123 456 pour me répondre directement
AMcD
> Tu sais pas resumer ? Que c'est fatigant de de lire
> rabâcher, à la fin on perds le fils ... :-(
C'est fait exprès, pour pas que tu me lises.
--
AMcD
http://arnold.mcdonald.free.fr/
yoky42
repondre et la c'est bon! c'est quoi ce buinz
Comment virer le logiciel Click&Lock de IMsoft quand on n'a pas les
codes d'acces il les faut pour le desinstaller a partir de ajout
suppression de programme
l'os est win98
Merci
ppc
> ppc wrote:
>
>
>>Tu sais pas resumer ? Que c'est fatigant de de lire
>>rabâcher, à la fin on perds le fils ... :-(
>
>
> C'est fait exprès, pour pas que tu me lises.
T'inquiète pas, je m'arrête à la troisième ligne :-(
Roland Garcia
> Misterjack wrote:
>>Pour Ariane5, c'était en fait un oubli de vérification dans
>>l'adaptation
>>de routines d'Ariane4. Un problème de débit de données dans une liste
>>circulaire (qui a malheureusement bouclée).
>
> Oui. On trouve d'ailleurs un rapport complet sur le Net à ce sujet
> intéressant à lire. Bon, désolé j'ai pas le lien là. J'ai surtout mentionné
> ce cas car c'est un domaine ou l'intégrité du code est vérifié des dizaines
> de fois afin que le matos de Roland puisse finir ses expérience sans
> exploser :o).
Pas grave, même explosé (réellement) ça se récupère, plutôt fondu mais
pas trop :-)
Roland Garcia
AMcD
> AMcD a écrit :
>
>
>>
>> Tatata. Les gadgets, c'est les utilisateurs qui les veulent et les
>> demandent
>
> Mouais c'est un peu facile d'accuser les utilisateurs "de base" (dont
> je
> fais partie) de tous les maux.
Je n'ai pas cité les utilisateurs "de base", mais les utilisateurs tout
court. Les grosses boîtes font passer des tonnes de batteries de tests à des
tas d'utilisateurs cobayes avant de sortir des gros logiciels. Tu peux être
sûr que si ces testeurs n'accrochent pas, le produit ne sort pas.
>Dans le domaine des nouvelles techno
> (et
> pas seulement dans ce domaine d'ailleurs) c'est bien souvent l'offre
> qui guide la demande et pas l'inverse.
Non. Il est clair que l'éditeur va essayer d'imposer des chosses, mais si
les testeurs n'accrochent pas, il y a peu de chance que ça sorte. Prend
l'exemple des skins : cela ne sert strictement à rien, consomme des
resources, etc. Pourtant, va sur des sites qui proposent ce genre de trucs,
les téléchargements se comptent par millions. Pleins de choses
n'existeraient pas si la demande n'existait pas. Je t'accorde bien
volontiers qu'il y a aussi une forte tendance de l'éditeur à chercher à
devancer celle-ci, voire à la forcer :o).
> Si on n'avait jamais proposé
> aux utilisateurs d'autres fonctionnalité que celles de win95 (en
> essayant
> quand même d'améliorer la stabilité, la sécurité) ils s'en seraient
> satisfaits.
À mon humble avis, l'erreur a surtout été de faire croire que Win95 état un
OS pouvant servir dans un environnement professionnel à fort besoin
d'informatique...
> Tu parles des soucis avec netscape mais c'est quand même grâce à IE 5
> que des tas de gens ont été infectés par des virus divers et variés
> (kakworm pour moi -j'ai eu de la chance c'était pas un méchant- ce qui
> m'a donné envie de m'intéresser à la façon de se protéger de ces
> saloperies).
À moins que ma mémoire me joue des tours, KAK, c'est une faille de OE, pas
IE... Mais bon, je n'ai jamais dit que IE était parfait non plus.
Personellement, j'utilise plutôt Mozilla aujourd'hui. Enfin, c'est du 50/50.
> La raison essentielle de sa domination c'est quand même son
> intégration
> à win. La plupart des utilisateurs de IE n'imaginent même pas qu'il
> existe d'autres logiciels pour naviguer sur internet.
Tout à fait. Mais le problème n'est-il pas ailleurs, n'est-ce pas le fait
d'une mauvaise formation générale des usagers à, disons, une base
élémentaire des choses de l'informatique ?
--
AMcD
http://arnold.mcdonald.free.fr/
Frederic Bonroy
> Tatata. Les gadgets, c'est les utilisateurs qui les veulent et les demandent
> ! Le but d'une entreprise est de faire de l'argent. Si on peut satisfaire le
> plaisir et desideratas des utilisateurs à grands coups de technologies
> propriétaires qui rapportent de sous... ben on y fonce dedans :o).
Tu crois sincèrement que les utilisateurs ont réclamé la possibilité
de faire afficher les répertoires sur le disque comme des pages web?
Je ne vois pas tout à fait quel intérêt commercial Microsoft pourrait
avoir à inclure un logiciel de gravure dans Windows. Une nouvelle
version de Windows se vendrait aussi sans.
D'ailleurs, Microsoft n'est pas seul à faire ça, beaucoup d'éditeurs
le font. Je ne pense pas que les motivation soient uniquement
financières, c'est sans doute aussi un "phénomène", tout simplement,
mais un phénomène déplorable.
> À moitié vrai. Vrai pour le fait que Kro a tout fait pour écarter la
> concurrence. Faux dans le sens ou il a fallu attendre aujourd'hui pour voir
> Mozilla prétendre dépasser IE. Si IE s'est imposé, c'est pas seulement parce
> qu'il était livré avec les machines ou habilement imbriqué au système :
> quiconque à souffert avec les [biiiip] netscape ou ramé pour faire des sites
> potables avec Opera partagera sans soucis mon avis.
Netscape 4.x était une cochonnerie sans pareil et si Netscape s'est
finalement cassé la figure, il ne faut pas uniquement chercher la
faute chez Microsoft. Toujours est-il que beaucoup de gens n'ont
jamais ressenti le besoin d'essayer autre chose, peut-être parce qu'ils
ne savaient pas qu'autre chose existait. Microsoft a profité de cette
ignorance.
Je répondrai au reste plus tard, pas le temps là. :-)
djehuti
"Frederic Bonroy" <yor...@yahoo.fr> a écrit dans le message news:
3FAA5F8A...@yahoo.fr
> AMcD a écrit:
>
>> Tatata. Les gadgets, c'est les utilisateurs qui les veulent et les
>> demandent ! Le but d'une entreprise est de faire de l'argent. Si on
>> peut satisfaire le plaisir et desideratas des utilisateurs à grands
>> coups de technologies propriétaires qui rapportent de sous... ben on
>> y fonce dedans :o).
>
> Tu crois sincèrement que les utilisateurs ont réclamé la possibilité
> de faire afficher les répertoires sur le disque comme des pages web?
bah, y a des gens qui rêvent...
> Je ne vois pas tout à fait quel intérêt commercial Microsoft pourrait
> avoir à inclure un logiciel de gravure dans Windows. Une nouvelle
> version de Windows se vendrait aussi sans.
sauf si ça fait partie d'une "politique" avec une portée plus vaste qu'en
apparence
tu commences par préparer le terrain avec ton logiciel de gravure
propriétaire (même si c'est un truc racheté à une pauvre société avec des
idées mais sans moyens), ton logiciel de montage vidéo et tout ce que tu
peux imaginer
puis tu passes à "Palladium" et ton cédé gravé (ou ta vidéo) contient une
"signature Palladium"...
même si c'est un peu confus, j'suis sûr que tu vois ce que j'veux dire :-)
@tchao
AMcD
> Toujours est-il que beaucoup de gens n'ont
> jamais ressenti le besoin d'essayer autre chose, peut-être parce
> qu'ils
> ne savaient pas qu'autre chose existait. Microsoft a profité de cette
> ignorance.
Soyons plus précis : et Microsoft a tout mis en oeuvre pour laisser les gens
dans l'ignorance en leur proposant le maximum de ce qu'ils peuvent avoir
besoin :o). Cela n'invite pas à aller chercher ailleurs. Enfin, tant que ça
ne plante pas trop...
--
AMcD
http://arnold.mcdonald.free.fr/
Laurent Wacrenier
> Quand on sait que pour qu'un logiciel de quelques milliers de lignes
> soit reconnut comme fiable et maintenable, il faut faire plancher des
> ingénieurs spécialisés pendant des mois...
Heu.. non, à moins que ce soient des ingénieurs spécialisés dans autre
chose que le développement.
> ça laisse à réfléchir pour un joujou comme Windows.
Je ne suis pas sûr qu'il ai été conçu par des informaticiens.
> Mine de rien, les intéractions logiciel-matériel sont très complexes
> pour un système d'exploitation. Il est même illusoire de penser qu'un OS
> puisse être infaillible.
Il n'y a pas de fatalité.
AMcD
> Misterjack <st...@mjcie.info> écrit:
>> Quand on sait que pour qu'un logiciel de quelques milliers de lignes
>> soit reconnut comme fiable et maintenable, il faut faire plancher des
>> ingénieurs spécialisés pendant des mois...
> Heu.. non, à moins que ce soient des ingénieurs spécialisés dans autre
> chose que le développement.
Heu, si.
>> ça laisse à réfléchir pour un joujou comme Windows.
>
> Je ne suis pas sûr qu'il ai été conçu par des informaticiens.
Ben non voyons, par des ânes...
>> Mine de rien, les intéractions logiciel-matériel sont très complexes
>> pour un système d'exploitation. Il est même illusoire de penser
>> qu'un OS puisse être infaillible.
> Il n'y a pas de fatalité.
Ha, et tes solutions ? Tu programmes un peu ? Tiens voici un petit exemple
de la difficulté de coder 100% sûr. Suppose que tu aies à implémenter une
routine de transaction simple via un réseau. Allez, dison le Net. Le codeur
doit faire gaffe :
- Aux buffers overflows,
- Aux stack overflows,
- Aux string overflows,
- Aux integer overflows.
Chacun de ces problèmes est différent à prendre en compte et à traiter.
Pourtant, très faciles à générer en quelque lignes de code transactionnel.
Et pas franchement très évident à éviter ou contrecarrer.
- Aux injections de code,
- Aux déni de services dus à de flux externes,
- Au déroutement de privilège (autorisation de debug ?),
Là ça ne rit plus, si tu dois tenir compte de tout ça et tester et éprouver,
prépare de longues heures...
- Aux déroutements via des services,
- Aux race conditions,
- Aux déroutement via patch de l'IAT,
Encore un cran plus bas...
Je dois m'absenter quelques heures là, je ne peux donc continuer une liste
qui pourrait être très très longue. Tu peux trouver des dizainesde méthodes
plus ou moins alambiquées pour pervertir un code. Certaines qui dépasseront
et de loin les compétences du programmeur moyen qui n'a pas suivi de
formation à leur sujet. Ni son chef de projet d'ailleurs. N'oublie pas le
temps imparti à chaque tâche, toujours très limité. par exemple, pour coder
la routine que je prends en exemple, t'auras guère plus de 3-4 heures à ta
disposition. N'oublie pas non plus que tu ne peux pas contrôler
l'environnement d'exécution de ton code : quid de l'environenment du client
? sécurité mise en place, etc.
Pas de fatalité ? Tant que les facteurs de décision seront basés sur la
rentabilité, j'en doute...
--
AMcD
http://arnold.mcdonald.free.fr/
ppc
Le codeur
> doit faire gaffe :
>
> - Aux buffers overflows,
> - Aux stack overflows,
> - Aux string overflows,
> - Aux integer overflows.
Pour un défendeur de la langue française pure qui
déteste l'anglomanie ?
Nicob
> [...] faire des sites potables avec Opera [...]
Mouais ...
Là encore, le quasi-monopole d'IE entre en compte.
D'un côté, il est vrai que Opera a longtemps manqué de fonctionnalités
exotiques (certains plugins, le DHTML, ...). D'un autre côté, il
m'est arrivé de remonter aux développeurs d'Opera des bugs (fonctionnel
et/ou sécurité) qui étaient rejetés pour cause de besoin d'émuler au
mieux le fonctionnement d'IE et d'éviter ainsi les utilisateurs remontant
ce qui leur semble être un bug ("ça marche sous IE mais pas sous Opera")
alors que c'est le comportement W3C-compliant ou "naturel" ...
Nicob
Nicob
> Prend l'exemple des skins : cela ne sert strictement à rien, consomme
> des resources, etc. Pourtant, va sur des sites qui proposent ce genre de
> trucs, les téléchargements se comptent par millions.
J'ai vu peu de failles de sécurité liées aux skins (sauf sous Windows
Media Player, quel hasard !). Mais je trouve aberrant le comportement de
certains navigateurs qui interpètent de l'HTML dès qu'ils le voient,
sans se soucier du Content-Type ...
C'est ce type de "fonctionnalités" qui posent des problèmes de sécurité !
Un p'tit 0-day :
http://nicob.net/cgi-bin/content-type.cgi
Nicob
Chambord
ppc a écrit :
"Aux buffers overflows" moi ça me fait rever je trouve ça poetik. :-)
butterfly....over..flower...
Laurent Wacrenier
> Ha, et tes solutions ? Tu programmes un peu ?
Oui, entre autre, je maintiens des serveurs de livraison et de lecture
de courrier de 22000 lignes sans beaucoup de commentaires. Alors quand
j'entends qu'il faut passer des mois*hommes avant de concevoir la
moindre chose de plus de 1000 lignes, je me marre.
> Tiens voici un petit exemple
> de la difficulté de coder 100% sûr. Suppose que tu aies à implémenter une
> routine de transaction simple via un réseau. Allez, dison le Net. Le codeur
> doit faire gaffe :
>
> - Aux buffers overflows,
> - Aux stack overflows,
> - Aux string overflows,
> - Aux integer overflows.
Je ne me rappele pas avoir des bugs avec ça, ni des autres plus bas
car je tourne sur une plateforme securisée (non Microsoft). On doit
surtout faire gaffe aux spécifications, si elles sont bien faites, le
reste va de l'allant.
> Pas de fatalité ? Tant que les facteurs de décision seront basés sur la
> rentabilité, j'en doute...
C'est bien pour ça que mes programmes sont en GPL.
AMcD
> AMcD <arnold....@free.fr> écrit:
>> Ha, et tes solutions ? Tu programmes un peu ?
> Oui, entre autre, je maintiens des serveurs de livraison et de lecture
> de courrier de 22000 lignes sans beaucoup de commentaires. Alors quand
> j'entends qu'il faut passer des mois*hommes avant de concevoir la
> moindre chose de plus de 1000 lignes, je me marre.
22.000 lignes ? Ouah, je suis impressionné, c'est ce qu'il me faut pour un
memory trainer pour Diablo II...
Un OS c'est des millions de lignes de code, c'est autre chose que quelques
malheureux milliers de lignes pour un serveur POP/SMTP. Et surtout d'une
bien plus grande complexité que l'utilisation de librairies satndards au
code éprouvé depuis 15 ans (cas d'applis de courrier). Qui plus est, 22K
lignes sans beaucoup de commentaires, c'est de la daube : c'est
inmaintenable et aucune boîte sérieuse refusera un tel travail. De toute
façon, 22.000 lignes pour un serveur de courrier, je doute que ce soit
l'oeuvre d'un professionnel...
> Je ne me rappele pas avoir des bugs avec ça, ni des autres plus bas
> car je tourne sur une plateforme securisée (non Microsoft). On doit
> surtout faire gaffe aux spécifications, si elles sont bien faites, le
> reste va de l'allant.
Mais oui, mais oui, Linux power on a compris. Si t'as jamais eu un buffer
overflow dans ta vie, tu dois pas coder depuis bien longtemps ! MDR. Fais
une application critique pour une boîte qui gagne pleins de sous online
avec, on va voir si tes applis de 22K seront sans beaucoup de commentaires
et si tu connaîtras pas les joies d'un DoS...
>> Pas de fatalité ? Tant que les facteurs de décision seront basés sur
>> la rentabilité, j'en doute...
> C'est bien pour ça que mes programmes sont en GPL.
Allez, tu m'as assez fait rire, moi aussi je bosse avec GPL, regarde :
braGgart Plonk List...
--
AMcD
http://arnold.mcdonald.free.fr/
AMcD
Débordement de tampon, de pile, de chaîne et d'entier. Tu sais, en
informatique on traduit rarement les termes techniques. Mais bon, je veux
bien te faire plaisir :o).
--
AMcD
http://arnold.mcdonald.free.fr/
Roland Garcia
Ah, quand même !
Le problème est dans les fonctionnalités absurdes à la Microsoft, pas
dans les overflow_machin qui eux touchent tout le monde. On a même
inventé les fonctionnalités absurdes dans les anti-virus, rajoutant une
couche à celles de Microsoft.......
Roland Garcia
AMcD
> Media Player, quel hasard !). Mais je trouve aberrant le comportement
> de certains navigateurs qui interpètent de l'HTML dès qu'ils le
> voient,
> sans se soucier du Content-Type ...
J'ai pris l'exemple des skins pour le côté inutile, par pour les failles
:o).
> C'est ce type de "fonctionnalités" qui posent des problèmes de
> sécurité !
C'est clair.
> Un p'tit 0-day :
Tu n'es qu'un vil pirate :-).
--
AMcD
http://arnold.mcdonald.free.fr/
Frederic Bonroy
Netscape 4.8: texte
Firebird 0.7: texte
Opera 7.21: HTML
IE 5.00: HTML
Frederic Bonroy
> > http://nicob.net/cgi-bin/content-type.cgi
>
> Ah, quand même !
>
> Le problème est dans les fonctionnalités absurdes à la Microsoft, pas
> dans les overflow_machin qui eux touchent tout le monde. On a même
> inventé les fonctionnalités absurdes dans les anti-virus, rajoutant une
> couche à celles de Microsoft.......
Cette "fonctionnalité" a des effets secondaires indésirables désirables
:-) dans la mesure où ça permet de récupérer des fichiers dont le
content-type est mal réglé sur le serveur et qui sont donc
"correctement" gérés par le navigateur. Ça arrive malheureusement
assez souvent.
Chambord
AMcD a écrit :
>
> ppc wrote:
> > AMcD wrote:
> > Le codeur
> >> doit faire gaffe :
> >> - Aux string overflows,
> > Pour un défendeur de la langue française pure qui
> > déteste l'anglomanie ?
>
> Débordement de tampon, de pile, de chaîne et d'entier.
Pour notre madame la traduction c'est pas petite culotte ?
Roland Garcia
Le jour où tout le monde fera son travail au lieu de se reporter sur les
autres ça ira mieux, je t'en foutrai des "fonctionnalités secondaires
indésirables désirables" moi ! :-)
Roland Garcia
Roland Garcia
Mozilla 1.4: texte
joke0
Frederic Bonroy:
> Netscape 4.8: texte
> Firebird 0.7: texte
> Opera 7.21: HTML
> IE 5.00: HTML
K-Meleon 0.8.0 Build 834 : texte
Quelqu'un se dévoue pour IE6? ;oD
--
joke0
ppc
Je ne pensais pas que votre culotte était aussi petite !
ppc
Je prefererais Netscape 4.7; Firebird 1.1; Opera et
IE je m'en fiche (même race) et pourquoi pas Gopher
2.0 pour Macinstosh ?
JacK
joke0 <404pagenot...@caramail.com> signalait:
Opera 7.22 txt
IE6SP1 txt
--
JacK
Frederic Bonroy
> Opera 7.22 txt
Apparemment la 7.22 n'est pas encore officielle...?
Frederic Bonroy
> Et je suppose qu'elle est toujours aussi menteuse qu'une arracheuse
> de dents...
La France d'en bas se moque des guéguerres entre navigateurs et des
standards et veut simplement que toutes les pages s'affichent bien.
Or cela n'est pas possible sur certaines pages qui emploient des
scripts de détection de navigateur débiles qui connaissent uniquement
IE et Netscape ou qui refusent carrément l'accès à tout navigateur
non-IE. Donc le choix des programmeurs d'Opera n'est pas totalement
injustifié.
Frederic Bonroy
> 22.000 lignes ? Ouah, je suis impressionné, c'est ce qu'il me faut pour un
> memory trainer pour Diablo II...
>
> Un OS c'est des millions de lignes de code, c'est autre chose que quelques
> malheureux milliers de lignes pour un serveur POP/SMTP.
Ben oui mais dans ce cas précis il était question de programmes de
quelques milliers de lignes, pas de systèmes d'exploitation.
Plusieurs mois pour vérifier qu'un programme de quelques milliers de
lignes est fiable, ça me paraît un peu exagéré. Pour des logiciels
qui fonctionneront dans des environnements très spéciaux (trafic aérien
et autres) je veux bien, mais certainement pas pour des logiciels qu'on
utilise chez soi sur son ordinateur personnel.
> De toute façon, 22.000 lignes pour un serveur de courrier, je doute
> que ce soit l'oeuvre d'un professionnel...
Ça dépend du langage, de la fonctionnalité du serveur et aussi de
la manière dont on compte les lignes. Ceci dit, je ne sais pas combien
de lignes il faut pour un serveur moyen écrit dans un langage moyen par
un programmeur moyen. ;-)
Roland Garcia
Non, IE 6.0.2800.1106 ----> HTML
Roland Garcia
Rémi
>>Salut,
>>
>>Frederic Bonroy:
>>
>>
>>Quelqu'un se dévoue pour IE6? ;oD
>
>
> Opera 7.22 txt
> IE6SP1 txt
Ben moi avec IE6 (et toutes les MàJ) réglé sur le niveau de sécurité
par défaut j'ai une alerte "JAVA script is executed"...
--
enlever 123 456 pour me répondre directement
me4all
Bonsoir
OffByOne 3.4a (9.12.02 16:57:26) : texte
(ultra-léger, stand-alone)
--
me4all
Frederic Bonroy
> Je ne te suis pas. À moins de technologie ouverte (l'hérésie de tout système
> économique) je ne vois pas comment un logiciel tiers peut être plus sûr que
> ceux écrits par les auteurs de l'OS... Pour être sûr, il faut y passer du
> temps. C'est tout. Peu importe qui écrit.
Ce n'est pas ça que je veux dire. Quand on passe du temps à écrire un
logiciel (un système d'exploiation) qui offre la même fonctionnalité
que des logiciels tiers alors il reste moins de temps pour renforcer
le noyau même du logiciel - avec le résultat qu'on connaît.
(En passant: ils parlent du procès contre Microsoft à la télé. ;-) )
> En poussant ton raisonnement à fond, on aurait encore le Web en mode texte
> et des OS console...
Quand-même pas. Rien n'empêchait Microsoft de développer IE séparément
et de le proposer à ceux qui le voulaient.
Misterjack
Je me sens obligé de donner quelques explications, car je sens que j'ai
été mal compris, snifff...
Frederic Bonroy a écrit :
> AMcD a écrit:
>>Un OS c'est des millions de lignes de code, c'est autre chose que quelques
>>malheureux milliers de lignes pour un serveur POP/SMTP.
>
> Ben oui mais dans ce cas précis il était question de programmes de
> quelques milliers de lignes, pas de systèmes d'exploitation.
>
> Plusieurs mois pour vérifier qu'un programme de quelques milliers de
> lignes est fiable, ça me paraît un peu exagéré. Pour des logiciels
> qui fonctionneront dans des environnements très spéciaux (trafic aérien
> et autres) je veux bien, mais certainement pas pour des logiciels qu'on
> utilise chez soi sur son ordinateur personnel.
Quand je parlais de quelques milliers de lignes, c'est une échelle large
de 5.000 à 30.000 lignes, quand même. (hors commentaires, et en langage
évolué)
Je parle de faire reconaître un logiciel comme fiable et maintenable.
Ceci entraîne de nombreux besoins :
- écrire dans un langage fiable et certifié comme tel (ADA par exemple);
- écrire un code structuré ;
- tenir compte de l'environnement d'exécution qu'il soit logiciel (OS,
pilotes, etc.) ou matériel (machines, réseaux,...) ;
- prévoir les erreurs d'exécution ou de transmission ;
- verrouiller toutes les parties de codes en relation avec l'IHM (on
considère que l'utilisateur peut faire tout et n'importe quoi) ;
- Vérifier tous les contextes d'exécution (pour éviter les dead-locks,
notamment) ;
- Faire des bancs de test (stress, brouillage,...)
- Et beaucoup d'autres choses, je ne vais pas faire un roman...
Vous comprendrez que je parle de logiciel en environnement industriel.
Mais lorsque vous dîtes "environnements très spéciaux je veux bien, mais
certainement pas pour des logiciels qu'on utilise chez soi sur son
ordinateur personnel", c'est là que vous faîtes fausse route, à mon
sens. Je m'explique :
En environnement exigeant, on prend toutes les précautions possibles
pour limiter les risques (alors que la contrainte financière existe tout
de même).
Lorsque quelqu'un critique ouvertement le code écrit pour des logiciels
grand public, je dis : il n'est pas possible de mettre en place le même
niveau qualité que pour un logiciel industriel, sans y mettre les mêmes
moyens. Hors, ces moyens ne sont pas à disposition des développeurs.
Les développeurs de logiciel grand public n'ont pas les moyens d'écrire
un code fiable et maintenable. Peut-on les blamer ? Je ne pense pas.
Amicalement,
--
Mister Jack (MJ)
Pour me répondre souriez et cliquez sur "Répondre".
Misterjack
Laurent Wacrenier a écrit :
> AMcD <arnold....@free.fr> écrit:
>>Tiens voici un petit exemple
>>de la difficulté de coder 100% sûr. Suppose que tu aies à implémenter une
>>routine de transaction simple via un réseau. Allez, dison le Net. Le codeur
>>doit faire gaffe :
>>
>>- Aux buffers overflows,
>>- Aux stack overflows,
>>- Aux string overflows,
>>- Aux integer overflows.
>
> Je ne me rappele pas avoir des bugs avec ça, ni des autres plus bas
> car je tourne sur une plateforme securisée (non Microsoft). On doit
> surtout faire gaffe aux spécifications, si elles sont bien faites, le
> reste va de l'allant.
On prend une plateforme Solaris bien sécurisée.
On propose d'écrire un programme type hyper-terminal qui permet de
transmettre des informations d'une machine à l'autre via une RS-232.
Donc entrée et affichage de messages texte.
Ecrivez moi ce programme et assurez moi à 100% qu'il est impossible de
faire faire une opération non prévue à ce programme.
Pour vous aider dans cette quête, sachez que le simple affichage en C
d'une chaîne entrée par l'utilisateur permet de faire faire un peu ce
qu'on veut à la machine (si c'est mal écrit... bien sûr).
Au fait, énormément de développeurs écrivent mal ce genre de choses...
Ca laisse à réfléchir, non ?
JacK
Roland Garcia <roland...@wanadoo.fr> signalait:
Depend des paramétrages de ta zone Internet ;)
Je maintiens : txt chez moi
Idem pour Opera : dépend de la configuration : txt chez moi
--
JacK
Roland Garcia
> sur les news:3FAAA2AD...@wanadoo.fr,
> Roland Garcia <roland...@wanadoo.fr> signalait:
>>
>>
>
> Je maintiens : txt chez moi
> Idem pour Opera : dépend de la configuration : txt chez moi
En gros IE serait comme OE, quand on lui interdit tout il devient sûr :-)
Roland Garcia
Frederic Bonroy
> Depend des paramétrages de ta zone Internet ;)
> Je maintiens : txt chez moi
> Idem pour Opera : dépend de la configuration : txt chez moi
Chez Opera il faut cocher "Determine action by MIME type" au lieu de
"Determine action by file extension if MIME type is unreliable".
(Désolé, je ne possède pas la version française.)
Je me pose la question pourquoi Opera considère, dans ce cas, que
le type MIME n'est pas fiable. Voici ce que renvoie le serveur:
HTTP/1.x 200 OK
Date: Thu, 06 Nov 2003 21:37:54 GMT
Server: Apache
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/plain
text/plain pour .cgi ne serait pas fiable? Oui, si on veut... ou bien
quoi?
Chez IE 5, avec un niveau de sécurité élevé, le JavaScript s'exécute
quand-même. Je ne vois pas quelle option pourrait le convaincre
d'afficher le tout au format texte brut.
Au fait: en naviguant dans les options, je viens de découvrir l'option
"Démarrer des programmes et fichiers dans un IFRAME". Chez moi, c'est
désactivé. Je me demande quel rôle cette option joue dans le cas de
la fameuse faille Iframe/MIME.
Pleurote du Panicaut
Rémi <remi.ku...@456wanadoo.fr> nous écrivit :
> Ben moi avec IE6 (et toutes les MàJ) réglé sur le niveau de sécurité
> par défaut j'ai une alerte "JAVA script is executed"...
Idem pour moi, puis affichage texte :
"We should only display text, because of the content type ! "
IE6 SP1 6.0.2800.1106 via MyIE2 0.8.2126
@+
--
Jean-Paul Boussac...
HTLM-Kit en français : http://boussac.online.fr/Windows/HTML-Kit.html
Lutte anti SPAM sous Windows :
http://boussac.online.fr/Windows/antiSPAM.html
Nicob
> Pour vous aider dans cette quête, sachez que le simple affichage en C
> d'une chaîne entrée par l'utilisateur permet de faire faire un peu ce
> qu'on veut à la machine (si c'est mal écrit... bien sûr).
Ah, les bugs de format ...
Sachant que cette technique a mis des années à être découverte, et que
les programmes vulnérables (et très utilisés) se comptaient par
centaines, calculez la probabilité de découvrir une nouvelle famille de
failles de programmation dans les 10 prochaines années.
Vous pouvez évidemment vous aider de l'âge du capitaine, qui est de 43
ans ...
Nicob
JacK
Roland Garcia <roland...@wanadoo.fr> signalait:
lol : en gros Windows n'est pas configuré par défaut pour être sécurisé mais
pour offir un maximum de facilité à l'utilisateur.
Ensuite, chacun selon ses besoins et son degré de parano renforce la
sécurité. Perso, je serais pour la politique inverse : sécuriser au maximum
et ensuite assouplir en connaissance de cause. Il semble que µ$oft aille
maintenant dans ce sens, voir Win2K3 server et ce qui est prévu pour le SP2,
ainsi que que IE6 update beta (mais là, c'est plus pour se mettre en
conformité suite à l'affaire EOLAS que par réel souci de sécurité...)
--
JacK
lomba
> Ha, et tes solutions ? Tu programmes un peu ?
Oups, t'es tombé sur la mauvaise personne là... Quand je vois la qualité du
filtre email codé par LWA chez mon hébergeur, il est clairement bon :)
--
lomba
Chambord
Misterjack a écrit :
> Lorsque quelqu'un critique ouvertement le code écrit pour des logiciels
> grand public, je dis : il n'est pas possible de mettre en place le même
> niveau qualité que pour un logiciel industriel, sans y mettre les mêmes
> moyens. Hors, ces moyens ne sont pas à disposition des développeurs.
>
> Les développeurs de logiciel grand public n'ont pas les moyens d'écrire
> un code fiable et maintenable. Peut-on les blamer ? Je ne pense pas.
Il suffit de sortir du domaine informatique pour voir que les règles
sont les mêmes. Si on tend vers la perfection , sans jeux de mot , le
temps se tend, et cela à un coût horaire. Seul un système sans économie
pourrait tendre vers la perfection , malheureusement un tel système
n'est pas fiable ou n'a pas été trouvé... faute de temps...
Nicob
> Le jour où tout le monde fera son travail au lieu de se reporter sur les
> autres ça ira mieux, je t'en foutrai des "fonctionnalités secondaires
> indésirables désirables" moi ! :-)
C'est clair !
Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au
navigateur de rattrapper ses conneries.
Si l'admin positionne volontairement un content-type "text/plain" ou
"application/octet-stream"", le navigateur n'a pas à avoir une action
différente que celle requise par le content-type en question.
Enfin, à mon avis ...
Nicob
Nicob
> Donc le choix des programmeurs d'Opera n'est pas totalement injustifié.
Les filtres Javascript n'acceptant que IE out telle et telle version
de Mozilla sont contournables par la modification du champ User-Agent,
fonctionnalité standard sous Opera (F12).
Nicob
Frederic Bonroy
> Si l'admin du serveur Web ne sait pas faire son boulot, ce n'est pas au
> navigateur de rattrapper ses conneries.
> Si l'admin positionne volontairement un content-type "text/plain" ou
> "application/octet-stream"", le navigateur n'a pas à avoir une action
> différente que celle requise par le content-type en question.
Normalement oui - seulement il peut-être utile de contourner le
content-type dans les cas justement où l'administrateur n'a pas fait
son boulot. Ce n'est pas propre, mais utile.
AMcD
> Oups, t'es tombé sur la mauvaise personne là... Quand je vois la
> qualité du filtre email codé par LWA chez mon hébergeur, il est
> clairement bon :)
Je ne le connais pas. Et, vu ses propos, n'ai aucune envie de le connaître
d'ailleurs. Tant mieux s'il sait programmer, et tant mieux s'il est bon.
Mais vu ses commentaires, je doute fort que son code soit si sûr. Ce que je
sais c'est qu'encore une fois, je vois un gars Unixien très sûr de lui,
parfait et qui a la science infuse. Je ne serai jamais du même monde. Moi,
du code sûr à 100%, sans commentaire, je ne sais pas faire.
--
AMcD
http://arnold.mcdonald.free.fr/
Nicob
> Idem pour Opera : dépend de la configuration : txt chez moi
Pour être précis : par défaut, Opera 7.21 ne respecte pas les
content-type "text/plain" ou "application/octet-stream" et essaie de
déterminer lui-même un "meilleur" content-type.
A mon avis, la version 7.22 a le même comportement, car les développeurs
viennent de m'informer qu'ils ont clos le ticket sans modifier la conf par
défaut, afin de coller au fonctionnement d'IE.
Extrait de leur mail :
In a perfect world, browsers should of course not guess content types,
nor would web servers send HTML labelled as "text/plain" or
"application/octet-stream". But we're not quite there yet. For now, we
will close this bug report without any changes in Opera's behaviour.
Il est toutefois possible (via "File types" -> "Determine action by MIME
type") de zapper la phase d'analyse du contenu. C'est d'ailleurs la conf
qui tourne actuellement chez moi.
Pour la petite histoire, j'avais trouvé le bug pendant un pen-test, le
site visé affichant la valeur de variables modifiables par l'utilisateur,
le tout avec un "text/plain" pour limiter les risques. En soit, il n'y a
pas de bug. Mais sur 90% (au moins) des machines (et 100% dans les
entreprises où les utilisateurs ont IE par défaut et ne peuvent modifier
la conf), on peut exécuter du Javascript (ou autre, d'ailleurs).
D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me
demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
Nicob
djehuti
"Nicob" <use...@nicob.net> a écrit dans le message news:
pan.2003.11.06....@nicob.net
les idées alakon ont souvent la peau dure...
et la demande est forte
(au hasard) news:3faad284$0$254$626a...@news.free.fr
mais y a jamais de demande pour le <noscript> :-(
c'est un problème d'information... et de mode, non ?
@tchao
--
« moa... j'aime pô les sessions ! »
AMcD
> D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me
> demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
Ben tiens ! Lol, d'après toi ? Ça coûte cher un bateau...
--
AMcD
http://arnold.mcdonald.free.fr/
Nicob
> Je me pose la question pourquoi Opera considère, dans ce cas, que le type
> MIME n'est pas fiable. Voici ce que renvoie le serveur:
>
> [...]
> Content-Type: text/plain
C'est une "fonctionnalité" :
- récupérer les erreurs/limitation de la conf de certains serveurs
- émuler au mieux le fonctionnement de IE
Admirez, dans cet extrait de mail du support Opera, la tortueuse voie
située entre le désir de sécurité et les impératifs business :
We had fixed the bug for a while by simple not executing scripts in pages
that we had "guessed" the content type of when the content type supplied
by the server was "weak" (text/plain or application/octet-stream I think)
or if no content type was supplied at all. However, this fix caused
problems on many sites and was reverted (by me on my recommendation.)
L'idée n'était pourtant pas mauvaise et aurait été pour moi une "voie
du milieu" correcte.
Nicob
Nicob
> Normalement oui - seulement il peut-être utile de contourner le
> content-type dans les cas justement où l'administrateur n'a pas fait son
> boulot. Ce n'est pas propre, mais utile.
C'est pour ça que j'admets que la "voie du milieu" (*) consistant à ne
pas exécuter de contenu quand le content-type est deviné me semble pas
trop mal.
Nicob
>> D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me
>> demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
>
> Ben tiens ! Lol, d'après toi ? Ça coûte cher un bateau...
J'avoue ne pas avoir compris l'histoire du bateau ...
Nicob
JacK
Nicob <use...@nicob.net> signalait:
> On Thu, 06 Nov 2003 22:26:35 +0100, JacK wrote:
>
> Pour la petite histoire, j'avais trouvé le bug pendant un pen-test, le
> site visé affichant la valeur de variables modifiables par
> l'utilisateur, le tout avec un "text/plain" pour limiter les risques.
> En soit, il n'y a pas de bug. Mais sur 90% (au moins) des machines
> (et 100% dans les entreprises où les utilisateurs ont IE par défaut
> et ne peuvent modifier la conf), on peut exécuter du Javascript (ou
> autre, d'ailleurs).
>
> D'ailleurs, j'ai le même type de bug dans des "samples" Oracle. Je me
> demande s'ils vont rejeter la faute sur IE. Vous pariez quoi, vous ?
>
>
> Nicob
Il y a deux écoles :
Les anti-M$ primaires qui rejettent tout et n'importe quoi sur Kro
Les pro-MS primaires qui rejettent tout et n'importe quoi sur l'utilisateur
et il ya qq dissidents qui essaient de faire la part des choses
--
JacK
AMcD
> J'avoue ne pas avoir compris l'histoire du bateau ...
Oui, c'est un peu tiré par les cheveux.
Oracle = Larry Ellison = 80 Millions de dollars pour ramasser une raclée
dans la dernière America's Cup.
Vu les coûts en avocats lorsque trop de plaignants portent plainte en cas de
failles et vu les coûts nécessaires pour faire mumuse sur un plan d'eau, la
faute ne sera certainement pas due à eux...
--
AMcD
http://arnold.mcdonald.free.fr/
Laurent Wacrenier
> Laurent Wacrenier wrote:
>> AMcD <arnold....@free.fr> écrit:
>>> Ha, et tes solutions ? Tu programmes un peu ?
>
>> de courrier de 22000 lignes sans beaucoup de commentaires. Alors quand
>> j'entends qu'il faut passer des mois*hommes avant de concevoir la
>> moindre chose de plus de 1000 lignes, je me marre.
>
> 22.000 lignes ? Ouah, je suis impressionné, c'est ce qu'il me faut pour un
> memory trainer pour Diablo II...
C'est quoi ?
> Un OS c'est des millions de lignes de code,
750 000 environ pour FreeBSD-5 (noyau, librairies, utilitaires)
> c'est autre chose que quelques
> malheureux milliers de lignes pour un serveur POP/SMTP.
Je n'ai pas dit que c'était un serveur POP/SMTP
> Et surtout d'une
> bien plus grande complexité que l'utilisation de librairies satndards au
> code éprouvé depuis 15 ans (cas d'applis de courrier). Qui plus est, 22K
> lignes sans beaucoup de commentaires, c'est de la daube : c'est
> inmaintenable et aucune boîte sérieuse refusera un tel travail. De toute
> façon, 22.000 lignes pour un serveur de courrier, je doute que ce soit
> l'oeuvre d'un professionnel...
Si tu veux, mais en tout cas ça marche et des centaines de milliers de
courrier passent tous les jours via ces utilitaires. Ils sont
suffisement ouverts pour ajouter fréquement de nouvelles
fonctionnalités. Et on a pas passé des mois*hommes avant d'ouvrir un
éditeur.
>> Je ne me rappele pas avoir des bugs avec ça, ni des autres plus bas
>> car je tourne sur une plateforme securisée (non Microsoft). On doit
>> surtout faire gaffe aux spécifications, si elles sont bien faites, le
>> reste va de l'allant.
>
> Mais oui, mais oui, Linux power on a compris.
Apparement non.
> Si t'as jamais eu un buffer
> overflow dans ta vie, tu dois pas coder depuis bien longtemps ! MDR.
Tu ne devais pas être né.
> Fais
> une application critique pour une boîte qui gagne pleins de sous online
> avec, on va voir si tes applis de 22K seront sans beaucoup de commentaires
> et si tu connaîtras pas les joies d'un DoS...
C'est une application critique car c'est ce qu'on vend à des clients.
>>> Pas de fatalité ? Tant que les facteurs de décision seront basés sur
>>> la rentabilité, j'en doute...
>
>> C'est bien pour ça que mes programmes sont en GPL.
>
> Allez, tu m'as assez fait rire, moi aussi je bosse avec GPL, regarde :
> braGgart Plonk List...
Finalement, je pense que pour toi, les bugs sont une fatalité.
Laurent Wacrenier
> Ecrivez moi ce programme et assurez moi à 100% qu'il est impossible de
> faire faire une opération non prévue à ce programme.
Si vous voulez un programme avec une démonstration mathématique de sa
sécurité, c'est sûr que ça prendra du temps, ne serait-ce que la
démonstration.
Laurent Wacrenier
> Le problème est dans les fonctionnalités absurdes à la Microsoft, pas
> dans les overflow_machin qui eux touchent tout le monde. On a même
> inventé les fonctionnalités absurdes dans les anti-virus, rajoutant une
> couche à celles de Microsoft.......
Peut être par anticipation, pour prévenir les futures fonctionnalités
absurdes de Microsoft ?
Laurent Wacrenier
> Normalement oui - seulement il peut-être utile de contourner le
> content-type dans les cas justement où l'administrateur n'a pas fait
> son boulot. Ce n'est pas propre, mais utile.
C'est nuisible. Ça habitue les "devellopeurs web" faire des
application fonctionnant uniquement sur leur navigateur, parce c'est
le seul qui sache pallier à leurs erreurs de programmation.
Roland Garcia
> AMcD <arnold....@free.fr> écrit:
>
>>Un OS c'est des millions de lignes de code,
>
> 750 000 environ pour FreeBSD-5 (noyau, librairies, utilitaires)
Soyez précis, deux lignes ça compte !!! :-)
http://kerneltrap.org/node/view/1584
Roland Garcia
Frederic Bonroy
> Des sites de merdes ? Comme celui de Virgin ?
Pas mal non plus ça, hein?
http://us.mcafee.com/root/genericURL.asp?genericURL=/common/en-us/html_files/nonIE.asp
Quand je demande à Opera de se faire passer pour IE, je peux voir
la page que McAfee m'a refusée lorsque j'utilisais Firebird, et je
ne vois vraiment pas pourquoi il faut IE pour cette page.
(Pour reproduire, aller sur
http://download.mcafee.com/eval/evaluate2.asp et cliquer sur
"Add to cart" par exemple après avoir coché 15-day free trial
pour McAfee VirusScan.)
joke0
Frederic Bonroy:
> Quand je demande à Opera de se faire passer pour IE, je peux voir
> la page que McAfee m'a refusée lorsque j'utilisais Firebird, et je
> ne vois vraiment pas pourquoi il faut IE pour cette page.
Il existe un "agent string switcher" pour FireBird sur
http://texturizer.net/firebird pour passer outre ces aberrations.
Fu2
--
joke0
Nicob
>> Des sites de merdes ? Comme celui de Virgin ?
>
> Pas mal non plus ça, hein?
>
> http://us.mcafee.com/root/genericURL.asp?genericURL=/common/en-us/html_files/nonIE.asp
Bon, vu que j'avais 10 minutes à perdre :
Cross-site scripting :
http://us.mcafee.com/root/genericURL.asp?genericURL=/hackeme%3Cscript%3Ealert(%22Haha%22)%3C/script%3E.asp
Boucle infinie "client side" :
http://us.mcafee.com/root/genericURL.asp?genericURL=/../../../../root/genericURL.asp
Boucle infinie "server side" (aka DoS) :
Non non, pas d'URL. Cherchez-vous même si ça vous intéresse ...
Conclusion : c'est *vraiment* un site de merde !
Nicob
Frederic Bonroy
> Boucle infinie "client side" :
>
http://us.mcafee.com/root/genericURL.asp?genericURL=/../../../../root/genericURL.asp
Ça marche toujours ça, les chemins relatifs?
Si je me souviens bien dans un autre contexte ça permettait d'accéder
à des fichiers système avec IIS ou quelque chose comme ça?
> Boucle infinie "server side" (aka DoS) :
> Non non, pas d'URL. Cherchez-vous même si ça vous intéresse ...
Si on veut se faire démolir la porte par le FBI à 3 heures du matin...
;-)
Nicob
> http://us.mcafee.com/root/genericURL.asp?genericURL=/../../../../root/genericURL.asp
>
> Ça marche toujours ça, les chemins relatifs?
Heu .... Oui !
Et même très régulièrement. Mais là, c'est juste un Server.Execute,
donc pas de risque de remonter au dessus de l'arboresence Web.
Nicob
Vincent Bernat
09:18, "AMcD" <arnold....@free.fr> disait:
> Un OS c'est des millions de lignes de code, c'est autre chose que quelques
> malheureux milliers de lignes pour un serveur POP/SMTP. Et surtout d'une
> bien plus grande complexité que l'utilisation de librairies satndards au
> code éprouvé depuis 15 ans (cas d'applis de courrier). Qui plus est, 22K
> lignes sans beaucoup de commentaires, c'est de la daube : c'est
> inmaintenable et aucune boîte sérieuse refusera un tel travail. De toute
> façon, 22.000 lignes pour un serveur de courrier, je doute que ce soit
> l'oeuvre d'un professionnel...
C'est amusant toutes les choses _débiles_ que l'on peut dire quand on
ne connaît pas les gens à qui on s'adresse. Prendre LWA pour un
neuneu, c'est une perle rare que je garde sous le coude.
--
BOFH excuse #112:
The monitor is plugged into the serial port
AMcD
> OoO En cette matinée ensoleillée du jeudi 06 novembre 2003, vers
> 09:18, "AMcD" <arnold....@free.fr> disait:
> C'est amusant toutes les choses _débiles_ que l'on peut dire quand on
> ne connaît pas les gens à qui on s'adresse. Prendre LWA pour un
> neuneu, c'est une perle rare que je garde sous le coude.
Bis repetita. Je ne le connais pas. Je ne le prends pas pour un neuneu. Je
réagis vis-à-vis de ses propos. Point. On n'écrit pas des applis de 22k
lignes sans beaucoup de commentaires. C'est inmaintenable par toute autre
personne que celle qui l'a écrit (et encore, faut-il qu'il n'y revienne pas
un an après). Et à moins d'avoir une documentation et un cahier de charges
professionnels de plusieurs dizaines de pages (et encore !), on n'écrit pas
des applis professionnelles sans beaucoup de commentaires. C'est une
hérésie.
Son côté péremptoire quand à l'écriture du code sûr est de la vantardise
pure et simple. Si une méthode existait, elle serait déjà connue et tout le
monde l'appliquerait. Je ne vois pas en quoi du code en GPL serait plus sûr
qu'un autre. Surtout qu'on ne sait généralement pas quelle sont les
processus de contrôle mis en place dans les entreprises.
Je viens de télécharger les sources de PLL Mail, projet dont je suppose que
le LWA dont nous parlons ici est le même que celui mentionné dans les admins
de projets sur sourceforge (si c'est pas lui, pas de chance, un gars portant
le même nom que lui écrit du code buggé). Voici un exemple tiré de wrap.c,
premier fichier du package pris au hasard, la fonction home_crypt() :
char *home_crypt(char *key, char *salt) {
if (home_param.crypt_always_crypted) {
return crypt(key, salt);
}
switch(home_crypted(salt)) {
case HOME_CRYPTED_CRYPT: {
static char scp[sizeof("{crypt}") + 13 + HOME_CRYPT_CRYPT_EXTRA_CHARS];
char *cp;
cp=crypt(key, salt+sizeof("{crypt}")-1);
strncpy(scp, salt, sizeof("{crypt}"));
scp[sizeof("{crypt}")-1]=0;
strncpy(scp+sizeof("{crypt}")-1, cp, sizeof(scp)-sizeof("{crypt}"));
scp[sizeof(scp)-1]=0;
return scp;
}
case HOME_CRYPTED_PLAIN:
if (salt=NULL) {
return NULL;
}
return key;
}
return NULL;
Vite fait, en deux minutes : Variables non initialisées, indentation
inexistante, noms de variables absolument pas explicite, non codage de
chaînes répétitives (genre "crypt") en constantes, utilisation très étrange
(et non optimisée) de l'append de l'octet NULL avec strncpy() (pourquoi
copier x si le xeme est mis à NULL ensuite ?) et, à moins d'un effet de
style très hors de portée d'un débutant (genre je sors de l'école) qui
aurait à maintenir ce code, erreur à if (salt=NULL). Erreur facilement
évitable en affectant les variables à l'envers, comme tout bon pogrammeur a
appris à le faire pendant ses études. Stoppons là.
Ce code est illisible et inmaintenable par quiconque que lui. Ce code ne
passerait pas les portes d'un chef de projet de la première entreprise
sérieuse venue. GPL ou pas. Mes anciens profs de fac m'aurait d'ailleurs mis
carrément 5 ou 6 sur 20 sur ce genre de bouillie.
Moi aussi je sais de quoi je parle, ça doit bien faire 21 ou 22 ans que je
code, et c'est moi qu'il faudrait pas prendre pour un neuneu en débitant des
âneries !
PS : je le dispense de signaler mon nom au cas où le if(salt=NULL) serait
une erreur. Je sais être altruiste, même pour la communauté UNIX.
Bon week-end.
--
AMcD
http://arnold.mcdonald.free.fr/
Jean-Francois Billaud
> Son côté péremptoire quand à l'écriture du code sûr est de la vantardise
> pure et simple.
Il y a des gens qui font certaines choses mal, d'autres qui les font bien,
et dans les deux catégories des gens conscients de ce qu'ils savent faire
et pas faire.
Dans la catégorie OS, voir le code de A. Cox ou celui de R. Card.
JFB
--
"I'm returning this note to you, instead of your paper, because it
(your paper) presently occupies the bottom of my bird cage."
-- English Professor, Providence College
AMcD
Jean-Francois Billaud wrote:
> Il y a des gens qui font certaines choses mal, d'autres qui les font
> bien, et dans les deux catégories des gens conscients de ce qu'ils
> savent faire et pas faire.
Tout à fait. Encore une fois, sous réserve de temps et donc d'argent, écrire
un code le plus proche possible du taux de sécurité maximal est
envisageable. Il existe des outils, des tests, etc. Mais c'est long, très
long et ça "coûte" cher. Ce n'est pas franchement en droite ligne des
aspirations économiques des dirigeants d'entreprises actuels...
> Dans la catégorie OS, voir le code de A. Cox ou celui de R. Card.
Connais pas. Si t'avais un lien, ce serait sympa.
A+
--
AMcD
http://arnold.mcdonald.free.fr/
Olivier Aichelbaum
> Bon, vu que j'avais 10 minutes à perdre :
>
> Cross-site scripting :
> http://us.mcafee.com/root/genericURL.asp?genericURL=
> Boucle infinie "server side" (aka DoS) :
> Non non, pas d'URL. Cherchez-vous même si ça vous intéresse ...
>
> Conclusion : c'est *vraiment* un site de merde !
Certes.
Combien de temps avant publication ici ils ont été prévenus ?
(pour pouvoir corriger avant qu'une personne mal intentionnée
n'exploite cela)
PS Ce post a été refusé sur fcs...
--
Olivier Aichelbaum
Jean-Francois Billaud
>> Dans la catégorie OS, voir le code de A. Cox ou celui de R. Card.
> Connais pas. Si t'avais un lien, ce serait sympa.
http://www.linux.org.uk/diary/
http://www.aldil.org/agenda/journees/1999/
JFB
--
To spot the expert, pick the one who predicts
the job will take the longest and cost the most.
AMcD
> http://www.linux.org.uk/diary/
C'est sans doute de l'humour ?
> http://www.aldil.org/agenda/journees/1999/
Oui, bon, enfin, il y a mieux, pour connaître le bonhomme :
- http://www.april.org/groupes/entretiens/remy_card.html
Avec des idées semble-t-il très arrêtées. D'ailleurs, je rectifie, ma
mémoire me joue des tours sur son cas. J'ai feuilleté son livre sur la
programmation Linux il y a quelques années. Je le "connais" donc un peu. On
peu trouver aussi des pdf sur le noyau ou sur son ext2fs.
--
AMcD
http://arnold.mcdonald.free.fr/
Laurent Wacrenier
> Bis repetita. Je ne le connais pas. Je ne le prends pas pour un neuneu. Je
> réagis vis-à-vis de ses propos. Point. On n'écrit pas des applis de 22k
> lignes sans beaucoup de commentaires. C'est inmaintenable par toute autre
Personne ne vous a demandé de maintenir quoi que ce soit. Je ne vous
demanderait même pas de corriger les milliers de lignes de doc
associées que je n'ai pas inclus dans le décompte puisqu'ils ne
répondaient pas à la remarque initiale.
> personne que celle qui l'a écrit (et encore, faut-il qu'il n'y revienne pas
> un an après). Et à moins d'avoir une documentation et un cahier de charges
> professionnels de plusieurs dizaines de pages (et encore !), on n'écrit pas
> des applis professionnelles sans beaucoup de commentaires. C'est une
> hérésie.
On sait. Vous passez plusieurs mois avec des tas de gens avant de
pondre un code de 1000 lignes. Je suppose qu'il doit y en avoir 950 de
commentaires dans le tas, le reste étant une source de bugs.
Il y a clairement de gens plus rapides et plus efficaces que vous.
Jean-Francois Billaud
>> http://www.linux.org.uk/diary/
> C'est sans doute de l'humour ?
Non, c'est du gallois.
http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%22Alan+Cox%22&btnG=Recherche+Google&meta=
(environ 520000 réponses, contre 6180 pour Steve Balmer)
JFB
--
All syllogisms have three parts, therefore this is not a syllogism.
Misterjack
Laurent Wacrenier a écrit :
> On sait. Vous passez plusieurs mois avec des tas de gens avant de
> pondre un code de 1000 lignes. Je suppose qu'il doit y en avoir 950 de
> commentaires dans le tas, le reste étant une source de bugs.
Ce n'est pas AMcD qui parlait comme ça, mais moi. Je répète ce que j'ai
écris plus tôt :
"Quand je parlais de quelques milliers de lignes, c'est une échelle
large de 5.000 à 30.000 lignes, quand même. (hors commentaires, et en
langage évolué)"
Et je parlais de code de qualité industrielle, puisque je répondais à
une remarque sur la qualité du code de Windows(r). Je voulais dire qu'un
code reconnu fiable et maintenable prend beaucoup de temps. Je me
re-cite : "Je parle de faire reconaître un logiciel comme fiable et
maintenable."
> Il y a clairement de gens plus rapides et plus efficaces que vous.
On en revient toujours là : à quel prix ? Un code de qualité moyenne ?
On parlait exactement de ça. Il y a 2 choix : un code sûr mais long à
écrire et cher (logiciels industriels), ou un code correct écrit
rapidement mais sujet à failles (logiciels grand public).
Cordialement,
--
Mister Jack (MJ)
Pour me répondre souriez et cliquez sur "Répondre".
Frederic Bonroy
> Combien de temps avant publication ici ils ont été prévenus ?
> (pour pouvoir corriger avant qu'une personne mal intentionnée
> n'exploite cela)
Je ne suis pas trop calé pour ce genre de choses, mais je ne vois pas
comment une personne pourrait exploiter les deux exemples qu'il
a donnés, puisque ça se passe sur le client et pas sur le serveur.
Pour ce qui est du déni de service, il n'y a pas d'adresse donc rien
à exploiter.
> PS Ce post a été refusé sur fcs...
Lequel? Le tien ou celui de Nicob? (Je ne suis pas fcs...)