Ho le bel appeau a troll que ce thread ![]()
Ils delirent complet neowin sur ce coup la, de la meme maniere que toutes les comparaisons de ce genre delirent complet aussi. Entre les pseudo “critical security risk” completement inexploitable ou ridicules auto-decretees sur les produits des autres avec des criteres variables a chaque posts, des comptes a geometrie variables (inclut on des librairies developees par d’autre, mais utilisees dans le produit, si on le fait sur un OS, pourquoi pas sur l’autre), des orientations ideologiques evidentes pour faire dire X, ou Y en choisissant sa periode de date elegament, etc, etc. C’est un pretexte a relancer un gueguerre debile a base de “ma mienne elle est plus grosse que la tienne”, ce genre de chiffres.
[quote]Dans cette histoire-là tu oublies apache qui représente 60% (estimations la dernière fois que j’ai lu les stats) des serveurs et qui a pourtant moins de failles qu’IIS.[/quote]Au passage, c’est faux. Un an apres sa sortie IIS6 a tres exactement 0 failles de securite critiques. Je te laisse trouver le chiffre exact pour apache 1.x ou 2.x sur un an apres leur sortie. Un indice: c’est plus grand.
Encore une fois, ca veut rien dire, tu fais pas un concour de grosse bite en comptant le nombre de failles de securites sur un produit. Surtout que personne ne sait exactement comment compter. (Je note au passage le truc favori du terrorisme intellectuel pour debutant: attaquer la credibilite de la source. Encore faut il eviter de se marcher dessus et attaquer la bonne personne: secunia y est pour rien.)
Comme je disait personne sait compter et on peut surement pas comparer des pommes et des choux en comptant deux environnements completements differents sur deux OS differents, avec des criteres differents. Ce genre de comparaison n’a strictement aucun interet, de meme que les comparaison linux, windows, IIS, apache, et autre basees sur le nombre de “critical update”. Ca n’a aucun sens, quel que soit le “gagnant”. Ce qu’on peut regarder, et une des rares choses qui ait un sens concret, c’est une tendence sur un meme systeme, avec la meme maniere de compter.
MS a un tres mauvais historique avec les failles de securite mais il faut comparer ce qui est comparable et juger sur le nouveau travail qui sort de redmond. Par exemple 320 jours apres sa sortie windows 2000 avait 40 failles critiques patchees. 320 jours apres sa sortie windows 2003 serveur en avait 9. C’est 9 de trop note, 100% d’accord la dessus, mais les chiffres sont carrement dans le bon sens de maniere plus que significative. C’est pareil pour SQL serveur avec 13 bulletins pour les 15 mois avant le SP3, et 3 bulletins pour les 15 mois apres le SP3.
Enfin tout ca pour dire aussi que les choses bouge beaucoup plus lentement quand la base installee se compte en dizaines de millions de postes, plutot que juste “on a release la version 2.3.1234beta sur la nightly build en 10 minutes qui corige tout, qui a pas ete testee en regression et que tu installe a tes risques donc toutes tes critiques sont infondees”. Encore une fois, c’est bien, il y a pas de doutes je critique pas du tout ca, au contraire, mais la aussi, comparons ce qui est comparable au lieu de se jetter dans un combat de troll. Sur un systeme deploye autant que windows entre le moment ou quelque chose est decide, implemente, release, deploye a assez d’exemplaires pour que l’effet s’en fasse ressentir il faut plus de 3/4 ans. Le support continue sur des versions anciennes et les reponses sont jamais “upgradez a la derniere build”, et ou la vie de chaque version est de 10 ans ou plus. Je prend de paris sur l’historique post SP2, si a chaque fois la reponse est desormais, “t’avais qu’a avoir le SP2”, c’est pas du tout serieux, mais je peux vous garantir que la difference au niveau des possibilites d’attaques va se faire ressentir.
Aucun code n’est parfait, aucun logiciel n’as pas de failles. Mais il n’y a pas besoin d’avoir du code parfait pour avoir du code securise. C’est loin d’etre un aveux d’echec et c’est ce que MS a mis le plus de temps a accepter: on ne peut pas ecrire du code sa faille. La securite est un process, c’est 50 couches les unes sur les autres ou si il y a un trou qui traverse les 49 premieres, la derniere fait suffisament chier pour rendre l’exploit beaucoup moins dangereux. Meme sur les dernieres annees ou d’enormes progres etaient a faire (et il en reste beaucoup a faire), je n’ai jamais eu un seul virus, et jamais un seul ownage alors que je suis sans firewall et sans anti-virus.
Meme si un logiciel est 100% blinde, les attaques se concentreront sur le maillon le plus faible de la chaine: par exemple l’utilisateur. Quand on voit que les attaques de type phishing bien faite, ont un taux de succes (par mail, phone ou autre) a faire dresser les cheveux sur la tete et la facilite avec laquelle on peut obtenir le mot de passe de beaucoup beaucoup de monde en 5 minutes, il y a pas photo, le risque zero n’existe pas ![]()
On peut au mieux le mitiger par des solutions techniques, qui vont forcement etre ressenties comme des batons dans les roues, tout en eduquant l’utilisateur sur la necessite de certaines de ces mesures. En tant que geek, la plupart d’entre nous sont tres mal places pour comprendre la frustration d’un utilisateur lambda qui n’arrive pas a faire ce qu’il veut avec sa machine et ne comprend pas pourquoi on l’embette avec des consideration qu’il ne comprend pas, de pres ou de loin. L’education est aussi primordiale.
Enfin donc, ces chiffres la: aucun interet. Ca n’explique rien, et c’est surtout un bel appeau a troll et a arguments en bois.
Ce message a été édité par GloP le 09/08/2004
Ce message a été édité par GloP le 09/08/2004
