> Parfois je me demande quand même s'il se rend compte de ce qu'il écrit. Par > exemple >quand il dit "qu'il est bien plus facile de trouver rapidement une vuln dans >un code ouvert > que dans un code auquel tu n'as pas accès." il ne fait que conforter mon > point de vue sur le >fait que l'open source serait plus facile à pirater. Aurais-je dit autre chose >que des >"conneries" ?
Bon, je ne suis pas intervenu dans ton troll LE mais je me dois d intervenir su celui ci . Oui il a surement été un peu agressif ( mais sans insultes ) et en gros il avait raison a 99% sur tout. La tu attaque l open source. Je suppose que tu n es QUE sysadmin et pas du tout codeur ? ( ici un sysadmin de 50 ans qui est aussi développeur C, et j en passe ) Oui avec l open source il est facile de decouvrir une faille ! DONC : * Il est tres probable que la faille sera decouverte RAPIDEMENT , car plein de gens qui sont aussi paranos que toi et moi, vont jeter un oeil au code, et les plus autiste d entre nous y passeront peut etre plusieurs jours ( ou nuits ), dans le cas d un truc que tu CROIE .devoir faire tourner en root. * Le mec qui voudrait mettre une backdoor dans un logiciel choisira la boite noire, car si il a un minimum d intelligence, il sait que sa backdoor sera vite decouverte et qu il perdra au minimum sa reputation, et au maximum . . . beaucoup plus. DONC : * inserer volontairement une backdoor dans un logiciel FOSS est tellement risqué que c est rare. AU PIRE : * parfois une faille ou une backdoor se retrouve dans un logiciel open source * elle est decouverte 1000 fois plus vite que dans une boite noire. * res peu de gens , voire aucun, se feront pirater par cette faille open source. * le probleme sera réglé tres rapidement pour les milliers d autres utilisateurs qui se seraient fait pirater si cette backdoor etait dans une boite noire. EXCEPTION : des gens qui ont de très gros moyens, comme par exemple la N SA, sont capables de t' inventer des backdoors multi niveau très complexes et quasiment introuvables, car elles n' existent pas à première vue. depuis 30 ans je n ai vu personnellement passer qu une seule faille de ce genre : https://grsecurity.net/~spender/exploits/exploit2.txt et ca date ( en gros ) de l epoque du hard fork agressif de gcc 2.95.2 par redhat. /* super fun 2.6.30+/RHEL5 2.6.18 local kernel exploit in /dev/net/tun A vulnerability which, when viewed at the source level, is unexploitable! But which, thanks to gcc optimizations, becomes exploitable :) Also, bypass of mmap_min_addr via SELinux vulnerability! (where having SELinux enabled actually increases your risk against a large class of kernel vulnerabilities) */ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
