[Info] patch Opensource pour IE, la honte pour Microsoft

j'ai plus ie depuis belle lurette, pour moi c'est opera et mozilla  

en utilisant des outils alternatifs, on passe a coté de gros problèmes (genre les virus qui se propagent avec outlook)

petite note
heise.de (je crois) a testé le patch
il amène plus de vulnérabilités qu'il n'en corrige
en particulier une énorme, cliquez une URL de plus de 250 caractères et ca vous plante IE avec un magnifique buffer overflow qui peut permettre l'exécution arbitraire de code non autorisé
en gros, quand on développe avec les pieds, open source ou pas, on la ferme et on s'abstiens

la honte pour qui au fait hein?  

en effet

Tous les logiciels ont des bugs et virus qui les attaques, même linux, mozilla etc...
Ce qui fait la faiblesse de IE et de OE c'est leur utilisation par des millions de personnes, donc les créateurs de virus voulant touché un max de personne...
je tiens a rappeler qu'en mettant la securité de outlook express a fond (pas de IE), on peux tout faire sauf voi java etc..., ce qui empeche l'execution de 95% des virus et qui ne gene en rien de la lecture de 99,9% des mails, car pieces joints accessibles, html actif...

certes
mais dans le cas présent, quand on veut, visiblement, ridiculiser microsoft en sortant un patch pour leur système avant eux, il vaut mieux que le patch soit en béton armé, sinon c'est retour de baton dans la gueule fissa... et là, vu la passoire qu'ils ont sorti et la facilité d'exploitation des failles, c'est carrément la honte pour les développeurs

La honte pour eux est clair, cette faille n'est toujours pas réparé et le fait que l'opensource s'y intéresse, ridiculise largement Microsoft. Je te rappelle que les navigateurs opensource sont nettement plus sur que cet immonde IE.

PS : tu peux donner un lien qui expliquerait ce buffer overflow stp

en bas de la page, mais faut comprendre l'allemand  
http://www.heise.de/security/dienste/browsercheck/demos...

en gros, avec le "patch" installé, 256 caractères ou plus dans une URL et tu plante IE

autre chose
la faille a été corrigée par microsoft
mais pour l'instant le fix n'est présent que dans le SP2 de Windows XP pour lequel je suis béta testeur

autre info chopée sur un site, texto :

Quick rundown of what this patch adds in terms of bugs (snipped from a post @ UserFriendly)

1) Several malloc calls are made but no free calls are made. This means IE leaks memory every time the code is called.
2) Several unchecked buffers are added, which means it may open up for other exploits.
3) The patch redirects the user to the developers' homepage when an URL exploit is detected, this is hardly good practice by anyone's standards.

Tu es beta testeur chez Microsoft, je comprends tout alors

Ce qui est "marrant" c'est que pendant ce temps la mise à jour n'est pas dispo pour les millions de personnes qui utilisent IE et les scriptkiddies doivent se faire une joie d'exploiter cette faille  

hehe, ça explique une partie des choses oué
enfin bon, le patch a le mérite d'être en cours de tests, et pour le moment il fonctionne bien

J'adore cette notion de betatest de patch chez microsoft.

PAs pire qu'un beta test d'un kernel-2.60 unstable

Je te parle de patch pas de kernel. Et note au passage qu'il n'existe pas de 2.6 unstable seulement des 2.6 rc et le stable

sté une image  

Ben un patch c un soft comme un autre, faut bien verifier qu'il ne provoque pas d'incompatibilité ou de conflit avec les elements existant

Ca me parait bizarre de parler de beta en matiere de patch de sécurité.  

comme je disais un patch stun prog comme un autre

si tu sors un patch pour une faille qui peut etre utuilisées de plusieurs manieres, faut bien verifier que ton correctif desactive pas ce qui a deja ete fait avant

Et comme M$ ne peux pas reproduire l'intégralité des environement de ses clients, ben ils font des tests sur un nombre max de systeme avant de lacher une release publique

Ouais mais jouer les bêta testeurs pour un patch de sécurité ca doit attirer plus d'emmerdes qu'autres choses.

en ce qui concerne ce patch, moi ce que je sens bien venir c qu'il ne sera intégré que dans le service pack, genre la faille du help center sous XP qui permet d'effacer le contenu du HD et qui n'a été fixée que dans le SP1, pour forcer un peu tout le monde a utiliser ce service pack, qui contient pas mal de "nouveautés", dont le support du palladium (TCPA)
autre chose a savoir, ce SP n'accèpte pas 90% (y'en a encore qui passent) des clés créées avec le fameux keygen sorti y'a un moment.
je rejoins neo en ce qui concerne la phase de tests, il est vrai qu'il est bcp mieux de tester sur un max de configs via le processus de beta externes qu'ils on mis en place, comme pour office 2003 qui est un vrai succès de ce côté là, gros beta test = peu de bugs résultants, ou mieux identifiés

La politique de sécurité de microsoft à toujours été un peu confuse.

[mode intaigriste]
Avec l'opensource y'a pas de problèmes avec les bugs et failles, j'en veux pour preuve OpenBSD.  
[/mode intaigriste]

Normal, si tu prend Windows Xp utilisez par des millions de personnes, et que tu compare a un programme utilisez par quelque milliers, le nombre de bug sera rarement aussi consequent qu'avec plusieuurs millions d'utilisateurs.

En quoi ca à avoir avec l'opensource ?

La grosse différence reste le temps de réponse de Microsoft. Dans le logiciel libre, les failles sont colmatées très rapidement. Les délais les plus longs sont ceux d'Outlook et de Internet Explorer.
Plusieurs mois pour parer un bug archi-mediatisé, c'est comment dire, un peu se foutre de la gueule des utilisateurs, parmi cela y en a qui bossent avec et ne font pas que du télé...  
Donc, j'insiste lourdement mais si on est obligé d'avoir comme OS un Windows, il est conseillé d'éviter les softs livrés avec et se tourner vers les produits les mieux suivis, en l'occurence les logiciels libres.

 



















 

Mieux suivi, mieux suivi, ben la ils ont fait fort, leur a fallu 3 jours pour se rendre compte que leur patch est une bouse sans nom et le retirer du site

Tu juges l'opensource sur un patch qui a été écrit pour un programme totalement fermé, troué de partout, ...

IE n'arrive pas à la cheville de Moz et devine quoi ? il est open source. OpenBSd est reconnu pour être un model de sécurité et devine quoi ? il est open source ....

personnellement j'ai utilisé mozilla et firebird pendant 2 mois, en suivant même firebird build après build chaque jour, ben si au niveau rapidité y'a pas photo avec IE, pour le reste c pas encore ça, surtout au niveau stabilité et qualité de rendu des pages. La sécu et la vitesse je veux bien, mais encore faut-il que je puisse naviguer en voyant les pages correctement.
tu cites OpenBSD/FreeBSD... facile, c'est le seul qui soit réellement bon, j'irai pas confier des données sensibles a une red-had, une debian et encore moins une mandrake, toutes 3 passoires réputées (et y'a pire côté nux)

+100000

l'open source ok, encore faut'il qu'au niveau fonctionnel ce soit au niveau de ce qui est commercialement disponible, je vais pas me faire chier longtemps avec un soft moyen, gratos ou pas, ce que je cherche ce sont des perfs, de l'administrabilité sans avoir a me prendre la tête pendant des plombes a chercher quel fichier de conf je dois tripatouiller (va faire uns restriction de droits sur les accès a la config de moz on va rigoler), et surtout un fonctionnement consistent (ah ben merde ce site passe pas sous moz/firebird zut faut repasser a IE)

Dis-moi t'es un troll spa possible.

non pas vraiment, mais dans ton genre t'est pas mal non plus lol

Waow t'as bien bouffer le marketing made in microsoft. T'as pas toucher une seul fois à Linux et tu juge déjà de la qualité.

ben si justement, du nux j'en ai bouffé pendant un an en vue de faire sauter crosoft de chez nous (administration publique) résultat on reste avec crosoft, on a moins de merdes avec eux

Bien reste avec crosoft si ca te plait d'avoir palladium dans le dos, reste avec crosoft si ca te plait de devoir attendre un mois avant de voir une faille corrigée (voir même pas corrigées pour certaines).

Je ne suis pas pro M$, loin de là. Mais je n'ai jamais eu de probleme de virus avec Outlook ou Outlook express que j'utilise tout deux quotidiennement

je pense aussi, mais bon qu'il continue comme ça, ça fait l'effet inverse de ce qu'il veut faire passer...

J'ai vraiment du mal à te croire, c'est gros comme une maison que tu dis n'importe nawak, t'as le discours classique d'un "pro" monoplateforme qui a une formation certifiée krosoft, bref de la gnognote  

Soyons clair le principe de l'open source est genial, mais n'importe qui peux alors acceder aux sources et voir les failles d'un programme donc le rendre encore plus dangereux en sachant que Mozilla est utilisée par 1000X moins de personnes que IE, donc ce n'est pas comparable, car Mozilla remplacerai IE on geulerai pareil pour les bugs.

allez je vais te faire plaisir, je te scanne l'entête de ma fiche de paye....
le problème qu'a la plupart des supporters de l'open source, c'est que vous n'arrivez pratiquement JAMAIS a croire que quelqu'un puisse choisir VOLONTAIREMENT de rester chez microsoft, c'est une quasi constante qui m'a bien fait rigoler ces dernières années.
Moi, je teste, j'évalue, si ca correspond a mes besoins je garde, que ce soit de l'open-source ou du propriétaire je m'en fous. Ce qui me gonfle c'est les fanboys qui jurent que par l'un ou par l'autre pour une raison x ou y, valable ou pas.

http://mr.reed.free.fr/images/entete_fdp.jpg

ils sont nombreux dans tous les domaines

hehe qui se souvient des "Console Wars" d'il y a 8-10 ans  
ouéééé ma Megadrive est meilleure que ta SNES

Je veux bien que tu aime bien microsoft. Mais ce que tu dit sur l'opensource et sur linux c'est du grand n'importe quoi. " une red-had, une debian et encore moins une mandrake, toutes 3 passoires réputées" c''est fort ...

1/ Déjà peux nombreuses sont les personnes qui savent lire les sources, encore moins sont celles qui ont le temps de tout lire, encore beaucoup moins nombreuses celles qui arrivent à trouver un faille (ca saute pas aux yeux). IE prouve bien qu'il ne suffit pas de caché ses sources pour évité que l'on trouve les failles.

2/Le bugs est quelquechose présent dans tout logiciels (ca ne les excuses pas pour autant) mais les failles sous Moz sont corrigées beaucoup plus rapidement pour nombres d'entre elles. Le respect de normes w3c est bien plus poussé. Les fcontionnalitées sont bien plus nombreuses et pratiques sous Moz, etc

Quelle argumentation

 

Oui et alors, ça donne du crédit à tes dires ? Y a des incompétents à des niveaux nettement plus stratégiques que le tiens. Bref montrer ses pseudos médailles n'est pas synonymes de crédibilité. Je vais non plus montrer mon cursus universitaire pour démontrer qu'ils vaut mieux se passer des softs Microsoft [ awa']

c'est marrant comme tu te concentre sur un point peu important de mon post pour subtilement éviter le commentaire qui suit et est nettement plus ascerbe  

je ne dis pas que l'open source c'est pas bien, au contraire, juste que ton argumentation ne me convient pas.

bapxp, je plussoie, mais je vais pas passer derrière pour les fotes  

1/ Donc parcque je suis sous linux je programme comme un dieu. Je dois avoir des talents caché.
Non mais c'est quoi cette argument à deux balles, je te traite de neuneux parcque tu utilise windows ?  

2/ Sais tu au moins ce qu'est le w3c ?   (http://www.w3c.org/) Essaye Netscape 4 et tu vas te demander à quoi ressemblerai Internet si le w3c n'existais pas.
Onglets, gestion de cookie, tunneling, gestionnaire de download, popup killer, themes, plugins (ajoute les fonctionnalités que tu veux), etc