1Password : Achat groupé

[quote=« Faskil, post:120, topic: 54685 »][/quote]
pas tellement non. Keepass est open source et hyper répandu, pas étonnant qu’il y ait des softs pour le bruteforcer. Beaucoup d’entreprise l’utilise par exemple (j’arrête pas de le croiser chez des industriels).
Ce qui serait inquiétant, c’est qu’il existe des softs qui y arrive :slight_smile:
 

Maintenant, mon propos à la base c’était surtout d’expliquer pourquoi certains préfèrent payer pour un tel soft en se méfiant des solutions gratuites.

Sauf que ça s’applique pas à Keepass … Comme l’a expliqué histrion au dessus, c’est pas gratuit qu’il faut retenir ici, mais opensource.
Tous le monde peut consulter le code est se rendre compte qu’il n’y a pas de routine d’envoi d’info à un tiers, que l’implémentation de la crypto est bonne. Il y a pas de loup avec keepass.
Il n’y a pas de raison objective de se méfier de keepass, et laisser planer le doute que c’est une appli google like ou c’est gratuit parce que ca collecte des données sur toi est faux.

Après, et je l’ai déjà écrit : 1Password a l’air d’être vraiment génial et carrément plus pratique à l’usage. Donc je conçois parfaitement qu’on choisisse une solution payante mais plus ergonomique et confortable qu’une solution gratuite et plus roots :slight_smile:
 
Je ne suis absolument pas en train d’essayer de convertir qui que ce soit (ce serait plutôt l’inverse pour le coup, suffit de relire le titre du thread et comparer avec ce dont on parle pour piger qui essaie d’embrigader qui). Si votre soluce gratos vous convient et vous semble suffisamment sécurisée pour vos besoins, go for it. Mais fondamentalement, ce n’était pas vraiment l’objectif du thread (avant que vous ne débarquiez). ^^

Bin je cherche à convaincre personne. Mais il me semble intéressant de parler des alternatives non et d’expliquer qu’on obtenir pratiquement les memes fonctionnalités, en moins pratique, avec des solutions gratuites ? Ca interesse peut etre des gens :slight_smile:

[quote=« Ben, post:121, topic: 54685 »][/quote]

Je comptais par répondre à cette partie (parce que la foi sur les intentions de l’open-source, ça me dépasse) mais juste une parenthèse sur cette… parenthèse. Tu veux dire qu’il y a des grosses boites qui utilisent des solutions « no warranty » pour la sécurisation de leurs mots de passe ? Wow. Et là pour le coup, ça s’applique aussi à 1Password. Si j’étais à la tête d’une DSI, JAMAIS j’implémente ce genre de solution sans recours dans un parc pro.
 

[quote=« Ben, post:121, topic: 54685 »][/quote]

La preuve que non, on débat depuis 4 pages pour savoir qui est le meilleur et très franchement, j’ai rien appris de neuf et toujours aucune envie de passer à Keepass. :smiley:

[quote=« Faskil, post:122, topic: 54685 »][/quote]
La par contre, je comprends pas. Ce n’est pas de la foi, c’est de l’informatique. Perso, je m’en cogne de la philosophie open source. Mais en terme de « warranty », y’a quoi de mieux qu’un accès aux sources ??
A ce que fais le programme. Y’a pas de magie, tu as le code, tu sais ce que ca fait …
Donc y’a pas plus de « warranty » a avoir … Si la théorie mathématique de cryptage implémenté par ton soft est robuste, et que l’implémentation est bonne, tu as besoin de quoi en plus comme « warranty » ? :slight_smile:
Et de ce que j’ai lu sur keepass, tout est ok : la base de crypto est bonne, l’implémentation est bonne, et le soft est propre.
Du coup, c’est quoi une solution avec recours ? Et donc, en quoi est-ce choquant que l’industrie utilise un soft fiable et propre pour stocker ses passwords ??
 

La preuve que non, on débat depuis 4 pages pour savoir qui est le meilleur et très franchement, j’ai rien appris de neuf et toujours aucune envie de passer à Keepass. :smiley:

mais pas du tout. Je cherche pas qui est le meilleur, il me semble clair que 1Password est meilleur sur tout les points que keepass.
Je reponds à tes affirmations erronées sur keepass …
Simplement, sur GZ, c’est dans ce thread qu’on parle de soft de cryptage, donc assez naturellement, vu qu’on est quand meme quelqu’un a avoir les memes besoins, et qu’on utilise une solution qui nous convient, on l’évoque.

[quote=« Ben, post:123, topic: 54685 »][/quote]
Parce qu’il n’est justement pas fiable à 100% ? Aucun soft ne le sera jamais. Je crois que tu n’a pas compris le sens du mot « warranty ». Ça veut simplement dire qu’en cas de problème, tu n’as que tes yeux pour pleurer, aucun recours juridique possible. A titre individuel, ça ne me pose pas de souci. Mais je ne pige pas comment une grosse boite pourrait se contenter de ça pour un aspect critique de sa sécurité. C’est jouer avec le feu.

Je laisse filer le reste, hautement subjectif, parce que je pense que le débat tourne en rond et qu’on a fait le tour des arguments d’un côté comme de l’autre. :stuck_out_tongue:

[quote=« Faskil, post:124, topic: 54685 »][/quote]
Oui, surement, mais bon, c’est un peu un lieu commun. 1Passowrd est fiable à 100% ?
La on est quand meme pas mal avec les sources …

Et en terme de validation, c’est pas mal ca : il est certifié par l’Agence nationale de la sécurité
des systèmes d’information


Je crois que tu n’a pas compris le sens du mot « warranty ». Ça veut simplement dire qu’en cas de problème, tu n’as que tes yeux pour pleurer, aucun recours juridique possible. A titre individuel, ça ne me pose pas de souci. Mais je ne pige pas comment une grosse boite pourrait se contenter de ça pour un aspect critique de sa sécurité. C’est jouer avec le feu.

ha, dans ce sens la. oui, pourquoi pas. Mais ce qui interesse les boites ici, c’est pas tant d’avoir un tiers sur qui se retourner que d’avoir un truc fiable.

Je laisse filer le reste, hautement subjectif, parce que je pense que le débat tourne en rond et qu’on a fait le tour des arguments d’un côté comme de l’autre. :stuck_out_tongue:

oui, enfin encore une fois, c’est pas une confrontation … juste des precisions.

[quote=« Ben, post:125, topic: 54685 »][/quote]

Si tu avais pris la peine de tout lire, je précise justement que ma remarque concerne Keepass et 1Password.
 

[quote=« Ben, post:125, topic: 54685 »][/quote]

Parce que c’est bien connu, un soft avec les sources, on est sûr qu’il ne plantera jamais.
 

[quote=« Ben, post:125, topic: 54685 »][/quote]

Qui s’en cognera comme de ta première copine si t’as le moindre problème qui met en péril ton industrie. Une validation et une garantie sont deux choses rigoureusement différentes. :wink:

Mais bon, là on s’éloigne clairement du sujet du thread…

[quote=“Faskil, post:126, topic: 54685”][/quote]
J’ai pas les connaissances pour l’affirmer à 100 % mais je pense qu’ils s’appuient sur des algorithmiques connus (ils citent AES) pour chiffrer tes mots de passe, avec a priori des portages dans plusieurs langages (j’ai trouvé un logiciel en Python qui semble en être capable) ce qui devrait te permettre de déchiffrer la base de données même si KeePass plantait.

[quote=“Moe, post:127, topic: 54685”][/quote]

Je ne dis pas que le soft n’est pas fiable. Je dis juste que le 100% fiable n’existe pas et que le raccourci “open source = fiable” est quand même un peu forcé (bordel j’ai mis le doigt dans un débat open-source, où est la sortie ? :p)

[quote=« Faskil, post:128, topic: 54685 »][/quote]Mais y’a que toi qui fait ce raccourci open source = fiable ici :slight_smile:
Tu es parti de "warning, c’est un soft gratuit, mefiez vous, c’est vous la monetisation"
j’ai repondu "heu, c’est open source, donc on sait que c’est pas le cas"
t’as repondu « ouais mais open source,c’est pas une garantie de fiabilité ».
et je te dis, on est d’accord, mais c’est pas a ca que je repondais en citant le fait qu’il soit open source. Je le citais pour invalider ton argument 1, qui etait « attention, c’est vous la monetisation du truc » …

Moi, ce que je dis depuis le depart, c’est que Keepass est une solution saine (pas de malware, on le sait parce que c’est open source), robuste (l’algo d’encryptage est connu et documenté), et pas trop mal codé (cf certification) à l’utilisation d’un soft de coffre fort, c’est tout …

       Un grand groupe industriel aura tendance à dévellopper sa propre solution en interne, surtout pour quelque chose d’aussi trivial que la gestion de mot de passe centralisé (qui je rappelle n’est qu’une simple base de donnée sécurisée).

       Et n’utilisera pas un systeme hebergé par un tiers, dont la seule garantie de sécurité est un bout de papier ("oui oui monsieur le portemonnaie, j’vous jure! tout est crypté à mort chez nous!).

Mais je ne pense pas que l’idée du thread est le choix du logiciel pour un grand groupe industriel ici :slight_smile:

Moi je résumerais: 2 cas de figures:

  • Vous êtes bidouilleur et aimer gérer vous mêmes les choses, vous prenez en charge la sécurité et la pereinité : keepass
  • Vous ne voulez pas vous faire chier avec la technique, vous voulez du service de qualitay: 1password et consort

C’est comme aller au resto ou cuisiner soi-même, faire son pc ou acheter un truc monté, etc…

Moi perso: keepass, fichier synchronisé sur nas en redondance et save online, mais parce que j’aime ca

[quote=« Ben, post:129, topic: 54685 »][/quote]

[quote=« Ben, post:129, topic: 54685 »][/quote]

Je réagissais à ça. « Pas besoin de garantie, c’est open-source. » Dire que c’est moi qui ai lancé l’amalgame, c’est gonflé. :smiley: Après, t’as peut-être mal compris le sens du mot « warranty ». La garantie dont parlent les TOS, c’est celle de compenser/pas compenser tout dommage subi par un mauvais fonctionnement du programme (ce qui implique forcément une notion de fiabilité), ça ne veut pas dire « garantie qu’on exploitera pas tes données », ça c’est autre chose et c’est généralement adressé dans la Privacy Policy. La notion de garantie n’a rien à voir avec l’accès aux sources ou avec la transparence du code.

[quote=« nusul, post:130, topic: 54685 »][/quote]

My point exactly. :slight_smile:

Avec tout ça, le mec qui va débarquer ici pour commander un 1password au rabais, il risque pas de s’y retrouver. :stuck_out_tongue:

Ca me ferait mal que 1password ait pas dans ses clauses un truc du genre « on est pas responsable des degats causes par le programme qui marche pas ». C’est LA clause standard pour tous les logiciels jamais commercialises a part de signer un contrat a part, c’est toujours le cas. Maintenant j’ai pas le courage d’aller verifier pour en débattre… T’as un support mais c’est « best effort », aucune garantie de plus que le truc open source, meme si t’as paye.

Et une boite qui écrit sa propre solution en système de sécurité… ils méritent de se faire hacker. La liste des boites capables de faire ca sans s’exposer a des problèmes 20 fois pires que d’utiliser les grosses solutions open source est vraiment pas longue… et on peut difficilement m’accuser d’être un grand défenseur de l’open source pour le cote open. 

Ha ben voila, j’ai surmonte ma flemme:

5. Warranties and Limitation of Liability.

THE SOFTWARE IS PROVIDED “AS IS,�? WITHOUT WARRANTY OF ANY KIND. AGILEBITS FURTHER DISCLAIMS ANY IMPLIED WARRANTIES, INCLUDING, WITHOUT LIMITATION, ANY IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, AND NONINFRINGEMENT. THE ENTIRE RISK ARISING OUT OF THE USE OR PERFORMANCE OF THE SOFTWARE REMAINS WITH YOU. SHOULD THE SOFTWARE PROVE DEFECTIVE, YOU (AND NOT AGILEBITS) ASSUME THE ENTIRE COST OF ALL NECESSARY SERVICING OR REPAIR.

IN NO EVENT SHALL AGILEBITS OR ANYONE ELSE INVOLVED IN THE CREATION, PRODUCTION, MARKETING, DISTRIBUTION, OR DELIVERY OF THE SOFTWARE, BE LIABLE FOR ANY DAMAGES WHATSOEVER; INCLUDING, WITHOUT LIMITATION, DAMAGES FOR LOSS OF BUSINESS PROFITS, FOR BUSINESS INTERRUPTION, FOR LOSS OF BUSINESS INFORMATION, OR FOR OTHER MONETARY LOSS, ARISING OUT OF THE USE OF THE SOFTWARE OR THE INABILITY TO USE THE SOFTWARE, EVEN IF YOU HAVE BEEN NOTIFIED OF THE POSSIBILITY OF SUCH DAMAGES.

IN NO EVENT SHALL AGILEBITS BE LIABLE FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES, OR FOR ANY DAMAGES WHATSOEVER, WHETHER IN A CONTRACT ACTION, NEGLIGENCE OR OTHER TORT ACTION, OR OTHER CLAIM OR ACTION, ARISING OUT OF, OR IN CONNECTION WITH, THE USE OR PERFORMANCE OF THE SOFTWARE OR DOCUMENTS AND OTHER INFORMATION PROVIDED TO YOU BY AGILEBITS, OR IN THE PROVISION OF, OR FAILURE TO PROVIDE, SERVICES OR INFORMATION.

Because some states of the United States and some countries do not allow the exclusion or limitation of the liability for consequential or incidental damages, the above disclaimer may not apply to you. Any warranties that by law survive the foregoing disclaimers shall terminate thirty (30) days from the date You downloaded or otherwise received the Software.

[quote=« GloP, post:132, topic: 54685 »][/quote]

C’est tout à fait dans les clauses. Et c’est exactement ce que je dis depuis le début. Faut pas lire en diagonale, c’est mal. :stuck_out_tongue:

[quote=“GloP, post:132, topic: 54685”][/quote]

Sérieux des fois quand je lis ce que tu écris …

Une grosse boite pas capable d’avoir une base de données sécurisées avec un login/pass ? heu!?

Bon tout a l’heure je galérais comme un con sur irc pour comprendre cette histoire de garantie et merci Glop, y a pas plus de garanties avec keepass qu’avec 1password, et effectivement, il y a plein de DSI qui utilisent des logiciels no warranty comme windows :slight_smile:
Faskil considère juste que le système de chiffrement de 1password est plus sécurisé que keepass et c’est cool, je suis pas assez spécialiste sur le sujet pour être capable de dire s’il a raison.

[quote=« Ben, post:129, topic: 54685 »][/quote]
HAHAHAHAHAHAHAHA. Genre mort de rire.
Enjoy: http://www.pdfforge.org/content/license

NB: c’est celui que j’ai retrouve hyper facilement parce que je l’install régulièrement. Le nombre de logiciel GPL/Opensource qui contiennent un ou plusieurs malware est en constante augmentation. Lisez bien les texte d’install les gars :wink:

LoneWolf
Le logiciel d’install est super drôle :slight_smile:

[quote=“nusul, post:134, topic: 54685”][/quote]

Oui, une boite qui essaye de re-inventer la roue dans ce domaine va avoir une solution pleine de trou. Et utiliser 1password ou quoi c’est pas la panacée, c’est pas le fait que ca soit encrypte avec un algo machin chose du jour et juste une BD sécurisée, c’est complètement inconsequent. C’est la politique de gestion de secrets et sa distribution, techniquement et niveau process. C’est complique, et ca s’invente pas.

[quote=“LoneWolf, post:135, topic: 54685”][/quote]

Serieux, Lone … On le sait parce qu’on a accès au source et qu’on voit qu’il y en a pas … PDFForge, on sait qu’il installe des trucs en plus, c’est pas caché …

[quote=« Ben, post:137, topic: 54685 »][/quote]
Ah parce que toi, tu es capable d’auditer tous les logiciels open source que tu utilises?

J’imagine que non, donc c’est juste une question de confiance envers les gens qui développent ces logiciels. Dans le cas de keepass, j’ai pas réussi a trouver l’info en 5 min, mais a priori 2 ou 3 personnes, peut être 5 ou 6 grand max. Et ils ont tous chacun leur partie de code a gérer, donc il vont pas forcement checker le code des autres. Et c’est OSI validated sa mère, donc ca veut dire qu’il y a eu un audit a un instant T d’un type de l’OSI pour la version trouzemille, et que c’est peut être obsolète.

Donc faut arrêter de croire que l’open source, c’est forcement safe. Mais trop pas putain. Y a 6 mois, php.net s’est fait POWNED la gueule ( http://arstechnica.com/security/2013/10/hackers-compromise-official-php-website-infect-visitors-with-malware/ ) et d’après ars, on a toujours pas le chemin par lequel ils sont passé (http://arstechnica.com/security/2013/12/hackers-who-breached-php-net-exposed-users-to-highly-unusual-malware/ ). Je peux aussi relinker le trou rigolo de ssh dans Debian.

Du coup, je suis d’accord qu’en théorie, l’open source est peut être plus sur que le proprio, mais c’est clairement pas vrai dans la pratique. Parce qu’on peut pas s’amuser a faire un audit de code des softs qu’on utilise.

Et ca, c’est parce qu’on est geek et qu’on a des bonnes notions informatiques. Quand un utilisateur lambda installe un logiciel open source « parce que l’open source, c’est bien » et qu’il se mange un malware - certes évitable pour celui qui connait un peu - tu crois qu’il fera la différence avec un truc planque dans le code?

LoneWolf
Oui je suis un peu vener la, pour parler comme Mordo :stuck_out_tongue:

[quote=“LoneWolf, post:138, topic: 54685”][/quote]

Pete un coup hein … Tu te rends compte que tu t’enerves pour rien ? J’ai jamais dit open source c’est bien. Je dis juste qu’un malware dans du code public, ca fini par se voir …
Et que dans le cas d’un logiciel comme keepass, dont on a les sources, puisqu’il est open source, super utilisé, et qui a été en plus audité (cf la certification ci dessus), bin il y a pas de malware …

Et si tu savais à quel point je m’en fou de l’open source … C’est juste que la ici, dans ce cas precis, c’est un argument pour invalider celui de Faskil qui disait “warning, c’est du freeware, donc c’est vous la monetisation”. Je dis rien de plus que ca…

Bon, sinon on revient à l’achat groupé là, fin de la GROSSE PARENTHESE MERCI.  Keepass on s’en cogne au final :x