blabla@osa, FREE TEH TRUE RIOT §§§

Recherche :

Sujet(s) à lire :
- Règles du forum OS Alternatifs (maj le 12/04/2018)
- [Who's Who@OSA] Qui sommes nous ?

Mot : Pseudo : Filtrer Aller à la page :
Page : 1 2 3 4 5 .. 9345 9346 9347 .. 10252 10253 10254 10255 10256 10257 Page Suivante Page Précédente Bas de page
Auteur	Sujet : blabla@osa, FREE TEH TRUE RIOT §§§

el_barbone

too old for this shit ...

Reprise du message précédent :
[:wark0]

---------------
En théorie, la théorie et la pratique sont identiques, en pratique, non.

Publicité

Loustik_

Oh my goood they

[:wark0]

---------------
Steam ID | Strava

grao

The visitor

MysterieuseX a écrit :

La question est pas franchement niveau matos, mais plutôt a voir du côté distro "Red Hat Friendly" ou pas. Les histoires de fesses entre Kay/Lennart et Linus en ce moment sont assez croustillantes du genre :
-"hi je debug mon kernel avec la CLI en rajoutant -debug avec un kernel non red hat et je me retrouve a plus pouvoir booter tellement systemd flood comme un chacal"
-"je m'en bat les rouston, le kernel a qu'a utiliser un autre espace de nom dans la cli, c'pas un bug, systemd a le droit d'utiliser le terme générique "debug" "
-"écoute gamin si tu continue tes conneries a dire que c'est au kernel de patcher tes conneries, j'vais franchement vous dire a vous et vos potes de vous cassez de mon taff parce que j'en ai raz le cul que les users proposent des patch kernel pour nettoyer votre merde"

https://bugs.freedesktop.org/show_bug.cgi?id=76935
http://lkml.iu.edu//hypermail/linu [...] 01327.html

freedesktop.org (une branche de la FSF pour rappel quand même) est noyauté par Red Hat. Quand tu vois la gueule des patchs Red Hat en tickless, gestion thread, debugging, la gueule d'un kernel Red hat, y'a de plus en plus de gens qui se posent la question a savoir quand Red Hat va forker le kernel.

Le soucis ici est quand même assez profond, on parle de GNU/Linux, d'outils censés être disponibles (FSF et freedesktop) sur GNU/*, et on se retrouve avec GnomeOS-nommé Base OS par KS- dépendant de systemd, et les distros binaires majeures (SUSE, Debian) ne pas vouloir se séparer de gnome et donc se poser la question de systemd, et donc avec une implémentation des kernels patchés Red Hat

Une chose sur laquelle les gens arrivent a s'accorder dans cette histoire, c'est que Red Hat et Linux ont besoin des parts de marchés sur les systèmes arm (entres autres) et que forker serait une mauvaise idée puisqu'ils n'ont le "man power" que pour maintenir un dev kernel/basetools que pour du x86, le seul soucis c'est qu'avec 2/3 zigotos v'la l'image de marque de la société auprès de ceux qui peuvent leurs fournir cette puissance nécessaire

Pour information quand même, pour supporter mes cartes (qui sont effectivement des connectx 3 pro, j'ai 3/4 maquettes avec des connectx 3 en mezzanine qui ont un fonctionnement légèrement différent, puisque intégrées dans la gestion baseboard des cartes mères) et supporter certaines charges, je doit utiliser le driver fournit par mellanox pour red hat et porter des lignes et des lignes de code et patcher mes kernels pour info (dernier kernel compilé sur ma machine, le début de mon support pour 3.14 est en court avec patchs kdbus voir se que ça donne)
http://forum.hardware.fr/hfr/OSAlt [...] m#t1354369
avec se que je patch principalement
http://forum.hardware.fr/hfr/OSAlt [...] m#t1355126

donc quand je dit

MysterieuseX a écrit :

Je vais corriger : si t'as pas un kernel patch red hat, tu fonce dans le mur avec un kernel vanilla, debian patch (très proche de l'upstream), c'est pas forcément le kernel (qui au pire verra du matos non supporté officiellement) mais l'userspace qui s'en prend un sacré coup et l'interface kernel<=>userspace qui s'éffondre. Quand tu rajoute systemd, systemd sur du non red hat fait simplement s'écrouler (avec des patchs foirés) le kernel (ou s'écroule lui même se qui revient quasiment au même)
Le custom en l'occurrence, c'est d'aller chercher les patchs chez centos, fouiller et porter la gestion tickless, premptivité red hat, d'importer le support des cartes mellanox patché red hat et certains morceaux d'I/O pour l'userspace/gestion mémoire, j'invente rien, je fait que rendre compatible mes kernels. La partie lustre/ZFSonlinux c'est principalement des patchs llnl.

Ceci dit, je me complique un peu la tâche, je cherche quand même le bleeding edge et me contente pas d'attendre sagement. J'avoue que ne pas chercher a rester "upstream" peut amener a généraliser mon cas, mais clairement Red Hat a certains niveaux je me demande si c'est encore GNU (clairement pour moi non)/ Linux (si on considère android et chromeOS comme du linux, alors Red Hat peut encore l'être <_< )

Tout ça pour dire: avec une RHEL 6.5 brut d'iso et l'OFED qui va bien ça marche au taquet du hardware

Message édité par grao le 11-04-2014 à 11:07:49

---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.

Loustik_

Oh my goood they

o'gure a écrit :

[:mom boucher]

Message édité par Loustik_ le 11-04-2014 à 12:14:54

---------------
Steam ID | Strava

MysterieuseX

Chieuse

o'gure a écrit :

heartbleed for dummies
http://imgs.xkcd.com/comics/heartbleed_explanation.png

Tes techniciens la comprennent cette planche ? :lol:

Profil supprimé

Je ne fait pas de réseau et visiblement je ne suis pas technicien.
J’ai pas compris la dernière case. Pourquoi est-ce que le serveur part en vrille quand on lui demande une réponse en lui ayant donné la mauvaise longueur ? Dailleurs, il n’est pas capable de la calculer lui-même ?

Message cité 3 fois

e_esprit

Parce que c'est justement là le bug dont il était question ? [:pingouino]

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

MysterieuseX

Chieuse

Justement, c'est ça la faille.

grao

The visitor

Code :

#include <string.h>
void *memcpy(void *dest, const void *src, size_t n);

Si "n" est plus grand que sizeof(*src) tu récupères src + ce qu'il y a derrière en mémoire.
Dans le cas d'openssl n était en fait la variable "payload" sur laquelle aucune vérification de la taille n'était faite.
C'est une erreur en C de débutant. C'est d'autant plus inacceptable dans une bibliothèque de sécu aussi importante qu'OpenSSL.

Message cité 3 fois
Message édité par grao le 11-04-2014 à 14:35:21

---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.

Profil supprimé

Ah.

Message cité 1 fois

Publicité

Profil supprimé

Deutsche Qualität

Spoiler :

tu es fatigué Homer, même moi j'avais compris [:fegafobobos:2]

remarque je fais un peu de l'impôt et je comprends des parties de codes

Spoiler :

code général des impôts, code de procédures civiles d'exécution voire code de commerce :whistle:

e_esprit

grao a écrit :

Code :

#include <string.h>
void *memcpy(void *dest, const void *src, size_t n);

C'est même pas une erreur en C, c'est un gros problème de conception du protocole à ce niveau là :|

Message cité 3 fois

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

grao

The visitor

C'est pas clair ? (no offense, je ne sais pas si tu es du métier ou pas)
Je veux bien expliquer plus si tu veux

Message cité 1 fois

---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.

grao

The visitor

e_esprit a écrit :

C'est même pas une erreur en C, c'est un gros problème de conception du protocole à ce niveau là :|

Les bonnes pratiques voudraient que le protocole soit différent et que les copy mémoires soient blindées

---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.

Profil supprimé

grao a écrit :

C'est pas clair ? (no offense, je ne sais pas si tu es du métier ou pas)
Je veux bien expliquer plus si tu veux

Ça l’a parfaitement été. 3 posts d’affilé qui me Captain Obvious comme des malades, c’est bon, c’est rentré.
---
Juste une question trollesque (on est vendredi, hein…) : OpenSSL, c’est pas les mecs d’OpenBSD (la distro BSD la plus culdenonesque du monde) qui sont derrière ?

Message cité 2 fois

grao

The visitor

Ne pas confondre OpenSSL et OpenSSH

Message cité 1 fois
Message édité par grao le 11-04-2014 à 15:18:26

---------------
Recherche affiche de GITS Arise 3 et 4, faire offre.

Profil supprimé

grao a écrit :

Ne pas confondre OpenSSL et OpenSSH

C’est pas lié ? Au temps pour moi.

Message cité 1 fois

Profil supprimé

[:calin]

MysterieuseX

Chieuse

o'gure a écrit :

Chaispasetjeveuxpassavoir [:hotshot:3]

Ben pourquoi ? [:kidou]

el_barbone

too old for this shit ...

o'gure a écrit :

Chaispasetjeveuxpassavoir [:hotshot:3]

technique dite de l'autruche [:cbrs]

Message cité 1 fois

Profil supprimé

el_barbone a écrit :

technique dite de l'autruche [:cbrs]

Ce qui explique pourquoi elles pondent de gros œufs.

anapivirtua

Boh.

o'gure a écrit :

heartbleed for dummies
http://imgs.xkcd.com/comics/heartbleed_explanation.png

[:redrofl1]

Je crois qu'il faut surtout le diffuser à quelques responsables

---------------
Si vis pacem, para bellum.

MysterieuseX

Chieuse

o'gure a écrit :

mon "préféré" prend même plus le temps de lire les messages d'erreur des routes [:shurik]
je passe en mode oggy pour l'enseignement là, il me remerciera plus tard sans aucun doute [:whatde]

/vieuxcon

T'as un préféré ?
Tu m'aime plus ? [:cerveau totoz]
Je suis plus ta préférée ? [:e_esprit:4]

MysterieuseX

Chieuse

o'gure a écrit :

Le jour où tu compredras l'ironie tu le redeviendra peut être

Awé, t'es bien en mode Oggy là

Loustik_

Oh my goood they

J'avais pas complétement pigé le truc non plus, mais moi ça compte pas je suis admin Domino

---------------
Steam ID | Strava

sligor

e_esprit a écrit :

C'est même pas une erreur en C, c'est un gros problème de conception du protocole à ce niveau là :|

et si c'était volontaire ? /mode paronoia/ /snowden/ /nsa/ /theorie du complot/

Message cité 1 fois

sligor

ils me semble que les devs d'openssh ne veulent même plus utiliser du code venant d'openssl (code qui pourrait être mis en commun entre les deux, openssl est une lib, openssh un programme) car ils trouvent le code d'openssl peu sécurisé par rapport à openssh.

Message édité par sligor le 11-04-2014 à 17:21:31

e_esprit

sligor a écrit :

et si c'était volontaire ? /mode paronoia/ /snowden/ /nsa/ /theorie du complot/

Je n'écarte pas cette possibilité [:gordon shumway]

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

MysterieuseX

Chieuse

o'gure a écrit :

Oggy's orthographe [:yann39]
Sarcasme

Ouaip

On peut un perma mode Oggy dit, dit, hein dit ? [:cerveau merdocu]

MysterieuseX

Chieuse

Presque moderne dit donc ... A quand le déclenchement suivant event dans l'userspace ? Ça serait top !
Avec la gestion d'un userpref par exemple et un "governor" façon CPU et la gestion de l'overoggyfing en fonction de la charge. Un forçage du mode Perfoggy.
/dev/urandom inutile comme ça ! Et surtout ne pas oublier le mode quietoggy (mais ça j'pense qu'on peu l'oublier, et pi, c'pas le but) !
[:cerveau atsuko]

Edit et puis un mode Turboggy aussi !

Message édité par MysterieuseX le 11-04-2014 à 19:46:32

Zzozo

Un peu, passionément, à la fol

o'gure a écrit :

Tu crois qu'il n'y a pas eu d'upgrade depuis quand ? [:iryngael:2]
Le dernier en date permet de configurer le mode oggy en fonction de l'interlocuteur ainsi qu'un semblant de "level" [:sud_conscient:5]
J'ai également demander un réglage sur /dev/urandom pour son activation non programmée, ça c'est pas configurable. J'ai eu de bon retour [:crapulax]

Et dans le dernier upgrade, il détecte les /dev/null pipé en entrée standard ? [:burkhalter]

Message cité 1 fois

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

MysterieuseX

Chieuse

Zzozo a écrit :

Et dans le dernier upgrade, il détecte les /dev/null pipé en entrée standard ? [:burkhalter]

Que le Oggy pisse dans un violon ? J'espère qu'il a un module de hack type heartbleed pour attaquer directement le fichier de conf qui fait ça, ça s'appelle /dev/battedebaseball me semble [:cerveau du chaos]

MysterieuseX

Chieuse

o'gure a écrit :

C'est de la /dev/bataclou qu'elle parle ? [:sud_conscient:3]
Je pipe rien à ce qu'elle déblatère [:papycool52:1]

C'est ça. /dev/bataclou, désolée si mon namespace est différent du tiens. Tu sais l'histoire de quand la femme dit ...

dreamer18

CDLM

grao a écrit :

Code :

#include <string.h>
void *memcpy(void *dest, const void *src, size_t n);

on pourrait croire que cela a été fait exprès; voici ce qui vient de tomber sur bloomberg

Citation :

BREAKING: NSA said to exploit Heartbleed bug for intelligence for years

Message cité 3 fois

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

MysterieuseX

Chieuse

Bon, bah tous sous OpenBSD :x

dreamer18

CDLM

http://www.bloomberg.com/news/2014 [...] umers.html

Citation :

NSA Said to Have Used Heartbleed Bug, Exposing Consumers
By Michael Riley 2014-04-11T18:58:48Z
- Comments Email Print

Facebook
Twitter
Google+
LinkedIn

Save
Photographer: Brooks Kraft/Corbis

Security personnel outside the National Threat Operations Center at the National... Read More

The U.S. National Security Agency knew for at least two years about a flaw in the way that many websites send sensitive information, now dubbed the Heartbleed bug, and regularly used it to gather critical intelligence, two people familiar with the matter said.

The NSA’s decision to keep the bug secret in pursuit of national security interests threatens to renew the rancorous debate over the role of the government’s top computer experts.

Heartbleed appears to be one of the biggest glitches in the Internet’s history, a flaw in the basic security of as many as two-thirds of the world’s websites. Its discovery and the creation of a fix by researchers five days ago prompted consumers to change their passwords, the Canadian government to suspend electronic tax filing and computer companies including Cisco Systems Inc. to Juniper Networks Inc. to provide patches for their systems.

Related:

Millions of Android Devices Vulnerable to Heartbleed Bug
Heartbleed Found in Cisco, Juniper Networking Products
Opinion: Heartbleed's Password Heartbreak

Putting the Heartbleed bug in its arsenal, the NSA was able to obtain passwords and other basic data that are the building blocks of the sophisticated hacking operations at the core of its mission, but at a cost. Millions of ordinary users were left vulnerable to attack from other nations’ intelligence arms and criminal hackers.
Controversial Practice

“It flies in the face of the agency’s comments that defense comes first,” said Jason Healey, director of the cyber statecraft initiative at the Atlantic Council and a former Air Force cyber officer. “They are going to be completely shredded by the computer security community for this.”

Vanee Vines, an NSA spokeswoman, declined to comment on the agency’s knowledge or use of the bug. Experts say the search for flaws is central to NSA’s mission, though the practice is controversial. A presidential board reviewing the NSA’s activities after Edward Snowden’s leaks recommended the agency halt the stockpiling of software vulnerabilities.

The NSA and other elite intelligence agencies devote millions of dollars to hunt for common software flaws that are critical to stealing data from secure computers. Open-source protocols like OpenSSL, where the flaw was found, are primary targets.

The Heartbleed flaw, introduced in early 2012 in a minor adjustment to the OpenSSL protocol, highlights one of the failings of open source software development.
Free Code

While many Internet companies rely on the free code, its integrity depends on a small number of underfunded researchers who devote their energies to the projects.

In contrast, the NSA has more than 1,000 experts devoted to ferreting out such flaws using sophisticated analysis techniques, many of them classified. The agency found the Heartbleed glitch shortly after its introduction, according to one of the people familiar with the matter, and it became a basic part of the agency’s toolkit for stealing account passwords and other common tasks.

The NSA has faced nine months of withering criticism for the breadth of its spying, documented in a rolling series of leaks from Snowden, who was a former agency contractor.

The revelations have created a clearer picture of the two roles, sometimes contradictory, played by the U.S.’s largest spy agency. The NSA protects the computers of the government and critical industry from cyberattacks, while gathering troves of intelligence attacking the computers of others, including terrorist organizations, nuclear smugglers and other governments.
Serious Flaws

Ordinary Internet users are ill-served by the arrangement because serious flaws are not fixed, exposing their data to domestic and international spy organizations and criminals, said John Pescatore, director of emerging security trends at the SANS Institute, a Bethesda, Maryland-based cyber-security training organization.

“If you combine the two into one government agency, which mission wins?” asked Pescatore, who formerly worked in security for the NSA and the U.S. Secret Service. “Invariably when this has happened over time, the offensive mission wins.”

When researchers uncovered the Heartbleed bug hiding in plain sight and made it public on April 7, it underscored an uncomfortable truth: The public may be placing too much trust in software and hardware developers to insure the security of our most sensitive transactions.

“We’ve never seen any quite like this,” said Michael Sutton, vice president of security research at Zscaler, a San Jose, California-based security firm. “Not only is a huge portion of the Internet impacted, but the damage that can be done, and with relative ease, is immense.”
Flawed Protocol

The potential stems from a flaw in the protocol used to encrypt communications between users and websites protected by OpenSSL, making those supposedly secure sites an open book. The damage could be done with relatively simple scans, so that millions of machines could be hit by a single attacker.

Questions remain about whether anyone other than the U.S. government might have exploited the flaw before the public disclosure. Sophisticated intelligence agencies in other countries are one possibility.

If criminals found the flaw before a fix was published this week, they could have scooped up troves of passwords for online bank accounts, e-commerce sites, and e-mail accounts across the world.

Evidence of that is so far lacking, and it’s possible that cybercriminals missed the potential in the same way security professionals did, suggested Tal Klein, vice president of marketing at Adallom, in Menlo Park, California.
Ordinary Data

The fact that the vulnerability existed in the transmission of ordinary data -- even if it’s the kind of data the vast majority of users are concerned about -- may have been a factor in the decision by NSA officials to keep it a secret, said James Lewis, a cybersecurity senior fellow at the Center for Strategic and International Studies.

“They actually have a process when they find this stuff that goes all the way up to the director” of the agency, Lewis said. “They look at how likely it is that other guys have found it and might be using it, and they look at what’s the risk to the country.”

Lewis said the NSA has a range of options, including exploiting the vulnerability to gain intelligence for a short period of time and then discreetly contacting software makers or open source researchers to fix it.
SSL Protocol

The SSL protocol has a history of security problems, Lewis said, and is not the primary form of protection governments and others use to transmit highly sensitive information.

“I knew hackers who could break it nearly 15 years ago,” Lewis said of the SSL protocol.

That may not soothe the millions of users who were left vulnerable for so long.

Following the leaks about NSA’s electronic spying, President Barack Obama convened a panel to review the country’s surveillance activities and suggest reforms. Among the dozens of changes put forward was a recommendation that the NSA quickly move to fix software flaws rather that exploit them, and that they be used only in “rare instances” and for short periods of time.

Currently, the NSA has a trove of thousands of such vulnerabilities that can be used to breach some of the world’s most sensitive computers, according to a person briefed on the matter. Intelligence chiefs have said the country’s ability to spot terrorist threats and understand the intent of hostile leaders would be vastly diminished if their use were prohibited.

To contact the reporter on this story: Michael Riley in Washington at michaelriley@bloomberg.net

To contact the editors responsible for this story: Sara Forden at sforden@bloomberg.net Winnie O’Kelley

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-

Zzozo

Un peu, passionément, à la fol

grao a écrit :

Code :

#include <string.h>
void *memcpy(void *dest, const void *src, size_t n);

e_esprit a écrit :

C'est même pas une erreur en C, c'est un gros problème de conception du protocole à ce niveau là :|

dreamer18 a écrit :

on pourrait croire que cela a été fait exprès; voici ce qui vient de tomber sur bloomberg

Citation :

BREAKING: NSA said to exploit Heartbleed bug for intelligence for years

+10000

Sincèrement, il faut être naïf pour être croire que c'est un "simple bug" ou même une erreur de conception (c'est quand même très grossier là)

On peut commencer à regarder du côté du/des devs qui ont pondu ce code, et du côté du/des mainteneurs (si ce ne sont pas les même) avec suspicion ... tu peux pas garder un truc comme ça aussi "gros" un tant soit peu discret/secret si le/les personnes impliquées ne couvrent pas le truc ...

A mon sens, c'est un peu plus grave qu'un trou dans un composant important des échanges sur Internet, c'est un problème de confiance qui se pose, là

Vas falloir se poser la question de savoir qui a fait quoi, et commencer à regarder d'un peu plus près tout un tas de composants tout aussi essentiels ... je pense sincèrement que la confiance qu'on peut avoir dans les LL risque d'en prendre un coup ...

J'ai un mauvais pressentiment là

Message édité par Zzozo le 11-04-2014 à 22:36:07

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

black_lord

Truth speaks from peacefulness

Je vous conseille le talk de PHK lors du dernier fosdem

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

Zzozo

Un peu, passionément, à la fol

o'gure a écrit :

Autant la suspicion est de mise pour les dev de la librairie en elle-même mais quand le truc est open-source et tellement réutilisé partout, le fait que ça a mis 3/4 ans à sortir c'est simplement impressionnant [:roane]
Plus c'est gros plus ça passe il parait [:clooney17]

Oui, et la margarine aide, si ça accroche un peu [:clooney12]

EDIT : Sinon, non, c'est pas si étonnant que ça soit passé inaperçu
A part les devs/mainteneurs qu'on peut légitimement suspecter d'être dans le coup, et qui ont des raisons de lire le code et voir qu'il y a un pb éventuel, les autres devs ne font qu'utiliser le truc, et c'est tellement une erreur de débutant de pas vérifier ce que tu demandes en nb d'octets et ce tu récupềres dans un buffer/zone mémoire, que ça avait peu de chance d'être vu de "l'extérieur"

Un scénario auquel je pense pour découvrir le truc fortuitement, c'est un dev qui commet cette erreur de ne pas vérifier ce qu'il demande/récupère dans le buffer/tampon, et que ça produit un bug dans son soft, et qu'il passe en mode débugage pour tracer et trouver l'origine du problème. Là non seulement, tu peux t'apercevoir que tu as un bug dans ce que tu as écrit, mais que en plus, le comportement de la fonction que tu appelles à un comportement un peu indéfini voire étrange quand tu fait nawak avec les paramètres que tu lui passes, plus particulièrement le nbre d'infos/octets que tu veux lire/récupérer

Message édité par Zzozo le 11-04-2014 à 22:55:00

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

Zzozo

Un peu, passionément, à la fol

o'gure a écrit :

Y a beaucoup plus de gens que les dev/mainteneurs officiels qui sont censer lire ce genre de code [:spamafote]
C'est le taf des équipes sécurités d'audit de n'importe quelle grosse boite qui les utilisent, j'en ai plusieurs en tête, et c'est le taf officiel de quelques organismes des différents états.
Et tu vas pas me dire que les petits malins au fond de leur garage ne relise pas le code des librairies de sécu les plus utilisées justement pour trouver ce genre de chose. Que c'est resté comme ça pendant tant de temps sans que ça fuite [:bien]

Après oui, le coup, on vérifie pas les bases, c'est courant [:kiki]

C'est là où c'est troublant

D'un autre côté, en moyenne, une ligne de code est lue/analysée tous les combien ? Est ce que le code est systématiquement ré analysé d'une version à l'autre ?

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

Zzozo

Un peu, passionément, à la fol

o'gure a écrit :

Y a beaucoup plus de gens que les dev/mainteneurs officiels qui sont censer lire ce genre de code [:spamafote]
C'est le taf des équipes sécurités d'audit de n'importe quelle grosse boite qui les utilisent, j'en ai plusieurs en tête, et c'est le taf officiel de quelques organismes des différents états.
Et tu vas pas me dire que les petits malins au fond de leur garage ne relise pas le code des librairies de sécu les plus utilisées justement pour trouver ce genre de chose. Que c'est resté comme ça pendant tant de temps sans que ça fuite [:bien]
Quand tu checkes ce genre de soft, ça fait parti des tests unitaires, par exemple un peu fuzzing.

Après oui, le coup, on vérifie pas les bases, ça peut arriver à tout le monde hein [:kiki]

Oui, ça c'est la théorie/les bonnes pratiques, mais là on est peut être en train de s'apercevoir que la pratique diffère sensiblement de la théorie
Et si il y a divergence entre les pratiques annoncées et les pratiques réelles, qui dit/garantit qu'on a pas le même problème ailleurs ?

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

Publicité

Page : 1 2 3 4 5 .. 9345 9346 9347 .. 10252 10253 10254 10255 10256 10257

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

Débats

blabla@osa, FREE TEH TRUE RIOT §§§

Sujets relatifs
Radio OSA	[blabla] les vendeurs de la fnac
Et vous, sur OSA vous contribuez comment à ce que vous revendiquez ...	[Ravioly] Nombre d'intervenants sur OSA
[ satisfaction ] le cote de OSA	OSA C NUL ON FERME TOUS LES TOPICS INTELLIGENT
TROLL : OSA le forum des super doués ..venez les meilleurs sont la !!!	BLABLA @ OSA
BLABLA @ OSA
Plus de sujets relatifs à : blabla@osa, FREE TEH TRUE RIOT §§§

Page générée en 0.075 secondes