Nettoyé : Une faille 0 click utilisée pour compromettre des iPhone, Réactions à la publication du 22/12/2020

[iAPX]

Il devrait pourtant être évident que toute faille de sécurité établie dans n'importe quel logiciel utilisé doive être corrigée gratuitement par la société qui l'a créé, à ses frais et dans des délais acceptables après la découverte et avant la publication, ou pour le moins offrir (oui, offrir, gratos) la mise à jours vers une version ultérieure sans cette faille.

il n'y a pas de société, certes, qui agissent honorablement comme tu le suggères, mais il y a le monde du libre qui est réactif, et sans backdoor intentionnellement mises, ni bugs, qui une fois connus, restent des mois voire des années parfois.
...

Si si, il y a des backdoors.

Ce message a été modifié par iAPX - 24 Dec 2020, 17:54.

[Triskell]

Au fait, joyeux noël à tous!
Et pas plus de 6 adultes à table!
et papi mami dînent dans la cuisine!

Le sujet dédié

[linus]

Il devrait pourtant être évident que toute faille de sécurité établie dans n'importe quel logiciel utilisé doive être corrigée gratuitement par la société qui l'a créé, à ses frais et dans des délais acceptables après la découverte et avant la publication, ou pour le moins offrir (oui, offrir, gratos) la mise à jours vers une version ultérieure sans cette faille.

il n'y a pas de société, certes, qui agissent honorablement comme tu le suggères, mais il y a le monde du libre qui est réactif, et sans backdoor intentionnellement mises, ni bugs, qui une fois connus, restent des mois voire des années parfois.

Au fait, joyeux noël à tous!
Et pas plus de 6 adultes à table!
et papi mami dinent dans la cuisine!

Est ce que je me trompe ou est ce que l'une des plus graves attaques contre les serveurs dont a longuement parlé MacBidouille il ya ... deux ans ?... n'était pas justement une backdoor dans un logiciel libre ?

Joyeux Noël également ... un peu solitaire cette année pour ma femme et moi, toutefois !

[baron]

Bonjour,

Ce topic a subi un nettoyage de la part de la Team. Des posts n'étaient en effet pas en règle avec la charte. Nous vous signalons également qu'il ny aura pas de second nettoyage, la vie de ce sujet tient donc entre vos mains.

Nous vous demandons de bien vouloir lire la charte qui régit ces forums si cela n'est pas déjà fait. Elle est accessible ici.

Cordialement la Team

(ce message est un message automatique de la team des modérateurs)

[iAPX]

Si si, il y a des backdoors.

Cet article me conforte dans l'idée que le langage C est bien une merde complète. Si on utilisait des opérateur plus parlants comme "equal" ou "eq", ce type de connerie n'arriverait jamais. Pire, on peut ainsi changer le uid courant à "root" avec une instruction aussi simple : cela ne devrait même pas pouvoir être fait. Linux est donc aussi une merde comme Windows. Bravo à la vigilance des équipes en charge du processus de validation néanmoins.

Si on pense d'où vient le langage C, ce qu'il a permis de construire et permet encore aujourd'hui de créer, en pensant que c'est la base de tous nos OS, outils, ne serait-ce qu'indirectement au travers des langages eux-même créés en C ou un de ses dérivés objet, alors non je ne pense pas qu'on puisse écrire que "le langage C est une merde complète".
Ce type de construction avec assignation lors d'évaluation d'expression est très courant dans d'autres langages plus récents pour lesquels c'est bien moins nécessaire.

Cette construction aurait normalement été détectée par Lint à défaut des peer-reviewers si il ne s'était agit d'empoisonnement de la chaîne d'approvisionnement outrepassant les contrôles normaux par injection directe dans le repository.
Et il est totalement normal et attendu que dans ce contexte puisse être manipulé toute information du processus courant, c'est même nécessaire!

Donc non, aucun rapport avec Linux ou le langage C.

Ce message a été modifié par iAPX - 25 Dec 2020, 22:16.

[Hebus]

On recode tout en smalltalk !!!

L’insécurité est intrinsèque au codage, c’est comme ça et ce quelque soit le language et les API , y a toujours une myriade de trous de sécurité possibles à tous les étages , on peut limiter, faire au mieux mais l’énergie à déployer pour écrire du code ou des solutions secures démontre à quel point c’est contre nature.

[iAPX]

On recode tout en smalltalk !!!
...

Il y a eu ce projet interne à Microsoft, Singularity OS, que j'avais trouvé très intéressant et prometteur dans un esprit pas si éloigné.

Le problème principal pour du code sûr mais aussi du matériel sûr, si on se remémore toutes les failles de sécurité de certaines CPU incluant celles connues sur les VM et permettant leur évasion, c'est le coût en terme de performances.
Performances, coût, sécurité: choisissez-en deux.

[baron]

Ce topic a subi un nettoyage de la part de la Team. Des posts n'étaient en effet pas en règle avec la charte. Nous vous signalons également qu'il ny aura pas de second nettoyage, la vie de ce sujet tient donc entre vos mains.

Dont acte.