Ah tiens le rapport a été mis à jour, et le résultat est toujours aussi étonnant :
L’article d’Ars Technica et l’article original, avec le PDF du rapport à télécharger.
L’un des soucis dans ce rapport, selon moi, c’est qu’effectivement, en open source, on peut VOIR les failles. Pas que ce soit considéré comme une qualité ou un défaut en terme de sécurité, mais automatiquement le nombre de bugs gonfle plus en Open que pour les produits MS.
Il est clair que MS peut très bien corriger par un gros patch sur le WiFi censé corriger une faille, hop, on corrige du même coup une ou deux failles que personne n’a jamais vu et signalé.
Coté Windows : nombre de failles signalées et corrigées = 1.
La même chose en Open-source va correspondre à 3 failles signalées et corrigées.
Même si la correction d’une faille inclus de refondre un bout de code et donc “de fait” de corriger les 3 failles d’un coup, le décompte n’est pas forcement le même en Open et non-open.
Ce que je veux dire, c’est que coté Windows, on compte les failles par le nombre de symptômes (et on a vite fait de dire “tout ça est dû au même gros bout de code”), alors que coté Open, par le nombre de petits bouts de codes moisis (“y’a des dépassements de tableaux ici, là, et là” : 3 failles).
Ensuite, effectivement la sévérité et la rapidité de correction n’a pas été prise en compte.
Enfin, l’auteur du rapport insiste sur le fait que Vista a été livré “sans aucune faille connue”. Il a raison de s’en vanter, c’est bien vu (commercialement).
Le problème, c’est que Ubuntu (pour ne prendre que lui) n’a pas du tout la même philosophie ni les mêmes moyens : on a pas un “tout”, bloqué à un moment donné à une version “sans faille”. Le kernel avance, Apache avance, Xorg avance, Gnome avance, Firefox avance… chacun à son rythme avance, pose des jalons, des versions “.0”. On n’aura jamais (je pense) une version “Ubuntu xx.0, tous les composants installés de base sont en version xx.0”.
En plus, tous ces produits sont (selon moi) un peu dans une fuite en avant vers l’évolution, l’ajout de fonction, etc.
Bah oui, parceque pour les dev’ opensource comme pour nous, debugger des failles, c’est pas marrant, alors que coder des nouvelles fonctionnalités, c’est carrement plus fun.
My 2 cents.
[quote=“BokLM”]LWN a un article à propos de ce rapport (lisible uniquement pour les abonnées pour l’instant).
En gros ils expliquent que ce rapport ne veut rien dire par ce que :[list]
[li] Pour le cas de Redhat, il freezent la distribution quelques mois avant la sortie, mais tous ces logiciels sont deja publiques et beaucoup utilisés, et il est donc possible de trouver des failles dedans, qui sont corrigées dans des mises à jour publiées le jour de la sortie. Au contraire de vista qui n’était pas disponible publiquement avant sa sortie.[/li]…[/quote]
C’est aussi le cas de vista. La béta publique était disponible au moins 8 mois avant la sortie grand public, moins si on en prend en compte la sortie de la version entreprise.
Faux.
Faux. Apparement ils ont pas lu la comparaison.
Faux.
Genre… alors que sous vista ils les laissent parceque c’est moins bien…
C’est a se demander qui fait preuve de mauvaise foi dis donc dans les rapports…
J’aime quand tu m’explique le ship process de Windows, comment sont faites les betas et a combien de personnes. J’adore apprendre que les windows ne sont disponibles que le jour de la sortie, comme tout le monde le sait bien sur. Ainsi que les methodes internes de sustain engineering et de preparation/packaging des patchs propre a Microsoft, apparement tu les connais si bien a affirmer de maniere si confiante comment ils font que c’est un plaisir. S’attendre a un truc objectifs de gens qui prefereraient crever plutot que de reconnaitre que MS fait un truc de mieux qu’eux, c’est assez illusoire tu me diras… Allez c’est pas grave… rdv dans 6 mois pour la comparaison a 1 an, je suis sur que tu seras toujours aussi convainquant avec des arguments en beton de ce genre. Je suis un peu decu de pas avoir encore vu l’argument comme quoi “si il y a plus de patch c’est que c’est plus securise, vu que si y a pas de patch c’est que les failles sont toujours ouvertes”. Moi ca me fait beaucoup marrer de voir certains essayer de demonter le truc par tous les moyens en allant chercher midi a 14 heures… Damage control a fond…
bon les filles z’etes mimi hein y’a pas de souci m’enfin si c’est pour vous tirer les cheveux en publique mettez des bikini et je ramene la boue…
là ça mene juste a rien donc soit vous arreté la mauvaise fois et vous faites des posts un peu plus evolué que 5 ans d’age mental soit on arrete tout de suite…
[quote=“Baphomet, post:26, topic: 44469”]bon les filles z’etes mimi hein y’a pas de souci m’enfin si c’est pour vous tirer les cheveux en publique mettez des bikini et je ramene la boue…
là ça mene juste a rien donc soit vous arreté la mauvaise fois et vous faites des posts un peu plus evolué que 5 ans d’age mental soit on arrete tout de suite…[/quote]
Non laisse j’aime bien ça fait de la lecture ! Allez sois sympa c’est venredi.
“Panem et Trollum”
Je trouve aussi que ca a une haute valeur d’ “entertainment” a ce niveau B). Mais les plaisanteries les plus courtes sont les meilleures (non Cwiz, pas de comparaisons douteuses)…
Ouais, du sang et du sexe!
Ou ptet que le sang.
Bon j’ai hesite a repondre mais quand meme, ca m’enerve tellement ce truc que je le fais quand meme.
est ce que vous tous conscient que vous vous battez pour un concept? Comparer les patchs de secu de windows et redhat, c’est comme comparer le nombre de defaut d’une patate avec le nombre de defaut d’un topinanbour (je fais expres de prendre deux membres des cucurbitaces, et plutot pas tres sexy)
C’est de la guerre de chapelle stupide, puisque que ca ne repose sur aucune base technique (je parle meme pas de base scientifique la) en comparant deux choses qui ne sont pas comparable car les systemes d’exploitations sont fondamentalement differents. Genre, ca vous viendre a l’idee de comparer le nombre de bugs de vista avec celui de windows 2003?
Mais ce qui me choque le plus dans l’histoire, c’est les linuxiens qui crient au scandale parce que l’etude est financee par MS, et ces memes linuxiens qui analyse ce rapport biaise (c’est le but d’un rapport: prouver que notre propre cote a raison) avec des connaissances plus que limitees du monde windows (forcement qu’ils connaissent pas bien, puisque windows c’est caca…)
Et la, la citation de boklm prends tout son sens: lwm a evidement plus de competence technique sous windows que microsoft a des competences sous linux. B)
Je n’arrive donc pas a comprendre pourquoi les linuxiens prennent au serieux un texte fait par des linuxiens concernant windows (donc a priori, ca va plutot pour en dire du mal) alors qu’ils sont les premiers a gueuler quand microsoft fait pareil.
Bonjour l’hypocrisie.
LoneWolf
Arretez les oeilleres B)
Ce topic part en couille et j’y vois de moins en moins d’arguments valables.
[quote=“BokLM”]Ben oui, et c’est justement pour ca que ce rapport censé prouver que Windows c’est plus sécure c’est du n’importe quoi.
Pas besoin d’etre un expert Windows pour voir que ce rapport c’est du gros pipo. Et c’est ce qu’explique l’article de LWN, que la comparaison est debile, et que les chiffres sont choisis de facon à favoriser Vista par rapport aux autres.[/quote]
Tu sais lire? Tous les mots, pas juste ceux qui te vont?
LoneWolf a clairement dit que justement, c’est aussi con dans le sens “Windows secure” que dans l’autre “ouais c’est du flan, Linux FTW”.
Qu’aucun des DEUX articles n’a finalement d’interet.
Pffff, je voulais pas poster (hormis pour dire vive la baston), mais la, faut ouvrir tes yeux.
Neomattrix
D’t’facon c’est Mac OS le meilleur, Steve jobs le dit. B)
[quote=“Neomattrix, post:32, topic: 44469”]Tu sais lire? Tous les mots, pas juste ceux qui te vont?
LoneWolf a clairement dit que justement, c’est aussi con dans le sens “Windows secure” que dans l’autre “ouais c’est du flan, Linux FTW”.
Qu’aucun des DEUX articles n’a finalement d’interet.[/quote]
L’autre article c’est pas du tout “Linux FTW”, il se contente simplement de contester les conclusions du premier. Et non, je trouve pas ca con. Mais bon, la je crois qu’on parle pour rien dire, merci pour ton message fort interessant.
Toutafait !
Baph, ramene les bikinis et la boue, ils sont finalement d’accord pour la baston, ya bien 2-3 personnes que ca va interresser B)
(BokLM, vista etait dispo publiquement bien avant la version finale, tu racontes un peu n’importe quoi quand ca t’arrange un peu des fois aussi quand meme.)
Ahahahaha, much ado about nothing… B)
Franchement, pas besoin de chercher des arguments de m… pour poser les limites de ce rapport, suffit de le lire (pas que le post, le rapport, en entier, il est pas long hein). Pour les distributions Linux, il a pris le set par défaut en réduisant à “l’équivalent Windows” (exit donc thunderbird et autre OO), donc il s’est attaché à obtenir un set à peu près correct. Sauf que, tout simplement, chercher une conclusion dans le domaine de la sécu juste en comptant les failles d’untel, ben ça veut rien dire. Comme plein plein de stats, même prises avec soin, ça n’a qu’un intérêt limité… statistique.
En gestion de risque et sécurité, encore heureux qu’on ne s’occupe pas uniquement de la quantité et que d’autres facteurs rentrent en compte… B)
Donc aller chercher les politiques de patchs, la viabilité ou non du modèle open source, les release processes des uns et des autres, ça devient nawak, pourquoi ne pas comparer aussi les styles vestimentaires des programmeurs ? Sérieux les gars…
bon… TOS 3.2 Roxor. et Lock
(TOS SUXXOR. AMIGAOS rulez) B)