PDA

Afficher la version complète : sécurité et opensouce



tiwann
15/03/2006, 15h10
Je débute dans le monde linux et viens d'instller la suse, j'en suis très heureux.

Mais j'ai une question qui me tarode, en quoi linux est-il très peu faillible si les code sources sont eux libre d'accés, je ne comprend pas. Si on a accés au coeur du système et qu'on peu savoir comment le démonter sans protéger les sources, comment peut-il rester protégé !! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif

offworld
15/03/2006, 15h42
Il y a deux ecoles de pensé, celle qui est par la sécurité par l'obscurité et l'autre.
Perso je ne trouve pas que la securité par l'obscurité soit superbe.

L'avantage de l'opensource est quelle permet a tous le monde de decouvrir des failles, donc de donné a tous le monde la possibilité de sécurisé l'application.

tiwann
15/03/2006, 19h28
oui mais justement c'est sa que je ne comprend pas. (attention je ne mis connait pas beaucoup en dévelloppement d'OS..) Lafaille n'est elle pas dans le fait que tout est opensource. Imagine je vend mon OS GNU/linux à une banque sachant que de toute façon le code de celui ci est open source, n'importe qui peu ce permettre alors pirater la banque (enfin n'importe qui on ce comprend, moi même sachant cela je ne serait pas le faire). Où alors j'ai rien capté. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/huh.gif

phoenix
15/03/2006, 19h48
Bah justement, si les failles sont trouvées, elles sont corrigés http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

rm /
15/03/2006, 19h57
Salut,
Ces un peux comme la porte blinder que ton banquier vien de faire installer,tous les bon serurier conaise le mode de conçeption de la porte,la foçon de la poser,et le chemain qui mène au cofre ou est poser la porte,mais le code secret pour ouvrire la porte il n'y a que le banquier qui le connais. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

galagann
15/03/2006, 21h13
L'ouverture d'un code source est une porte ouverte au développement.

tiwann
16/03/2006, 14h47
Si on continu sur l'exemple de la banque, rien empèche celui qui à conçu le système pour metre un code et tous ceux qui on acces a la source du système pourront ouvrir la porte à l'insu deu banquier qui a mis son code (mot de passe).
Mais bon visiblement opensource ou pas (sutout pas à priori quand on vois microcrotte !!) on peut réussir à trouver un faille et tout péter, donc à priori un système est faillible dès l'instant que son propriétaire ne permet à personne d'autre l'accès à son code. Sa me parait un peu chelou mais bon.

Pour moi si "L'ouverture d'un code source est une porte ouverte au développement." (je cite Galagann), c'est aussi l'ouverture simple et efficace au piratage. Pour le moment très peu de personnes son sur linux (voir même Mac), la plupart tourne sous windaube, donc la je comprend que les esprits mauvais de la piratrie ce tourne vers ce dernier.
En tant qu'utilisateur privée j'ai moins de chance qu'une entreprise de me faire pirater, car ya moins de tune à ce faire de mon coté. De plus le seul atout que je vois chez linux, c'est pas de bug et gratuit, et ya plein de logiciel aussi puissant ou presque que chez la concurrence.

Alors je me monte peut-etre la tête sur ce problème de sécurité, le problème c'est que je n'y connais rien.
Merci de vos réponses !! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

rm /
16/03/2006, 20h59
<div class='quotetop'>Citation </div>
rien empèche celui qui à conçu le système pour metre un code et tous ceux qui on acces a la source du système pourront ouvrir la porte à l'insu deu banquier qui a mis son code (mot de passe).[/b]
Oui, mais ci le dit système est un sytème ouvert "open source" les techniciens de la banque qui von s'ocuper de la mise en place du système s'apercevrons qu'il ya un code malicieux dans le dit système http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif
Et ceci répond aussi à ce là
<div class='quotetop'>Citation </div>
Pour moi si "L'ouverture d'un code source est une porte ouverte au développement." (je cite Galagann), c'est aussi l'ouverture simple et efficace au piratage.[/b]

tiwann
16/03/2006, 21h48
ok donc la boucle est bouclé, on peu ce cassé la tête à pirater un système open source mais il faut s'attendre à une replique facile et rapide à combler la faille exploité par le hacker. C'est vrai que c'est pas idiot vu comme sa. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

merci de vos réponse, j'imagine que c'est une question qui sans doute été posé plein de fois. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif

phoenix
16/03/2006, 23h58
<div class='quotetop'>Citation </div>
merci de vos réponse, j'imagine que c'est une question qui sans doute été posé plein de fois[/b]
C'est une question qui ne fait pas de mal à être (re)posée, beaucoup de gens ne le savent pas forcement.

mais après on peut aller plus loin : -sachant que son code sera lisible par tous, le dev sera (peut-être) plus pointilleux sur la qualité de son code, juste pour que d'autre ne viennent pas lui dire "ouais la faut pas faire comme ça zi va" http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif alors que si le code est fermé bah le retour sera plus limité...

pcamut
17/03/2006, 08h45
mais ci le dit système est un sytème ouvert "open source" les techniciens de la banque qui von s'ocuper de la mise en place du système s'apercevrons qu'il ya un code malicieux dans le dit système http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif[/b]

Mon experience perso qui n'engage que moi .

J'etais consultant dans une SSII et j'ai fait enormement de mission dans le monde bancaire. Maintenant je suis passé de l'autre coté, j'ai integré le departement info. d'une banque.

L' Open source n'est que peut utilisé par rapport aux solutions propriétaires parce que les banques veulent avoir quelqu'un a poursuivre si ca m...e quelque part, comprendre si un bug ou quoi que ce soit lié a l'infrastructre technique/logicielle en place leur fait perdre du pognon. Exmple tout con : Tomcat, dont les qualités ne sont plus a vanter n'est quasiment pas utilisé, mais tu vois du websphere partout, dans 99% dans cas uniquement pour générer du JSP

Pareil, tout le monde utilise WSAD, Eclipse avec des plugin IBM, alors que tout est dispo en opensource.

Et lorsque l'open source est utilisé, je peux te garantir qu'il n'y a pas beacoup de monde pour eplucher les sources. Ou alors, et c'est notre cas ici, c'est pour corriger 1 ou 2 bugs (JasperReport) ou popur faire une customisation bien specifique.

Voila, ma contribution à 2 balles.

dom le vrai
17/03/2006, 10h33
Moi, j'ai aussi une autre explication: sous Linux (et tous les Unix, d'ailleurs), open source ou pas, il faut un mot de passe administrateur pour modifier les fichiers système. Donc, même si un programme malveillant parvient à entrer sur un ordinateur Linux, il ne pourra normalement pas s'installer, si le système est bien fait (pas de possibilités de trouver le mot de passe administrateur).

Donc, pour moi, la force de Linux par rapport à Windows est également là, au niveau de la sécurité. Open source ou pas, le mot de passe administrateur est sécurisé.

A noter que Windows Vista va se baser sur ce système. Ils ont pris 25 ans pour comprendre, mais finalement, ils l'ont fait.

offworld
17/03/2006, 10h48
Dom, le systeme de l'administrateur sur windows existe depuis longtemps, mais peux l'utilise.

dom le vrai
17/03/2006, 11h15
Oui je sais, mais normalement, tout le monde se met administrateur par défaut, et le système est vulnérable.

offworld
17/03/2006, 12h02
C'est pas de la faute a microsoft.

phoenix
17/03/2006, 12h06
<div class='quotetop'>Citation </div>
C'est pas de la faute a microsoft.[/b]
Certes, pas directement. Mais on peut pas dire non plus qu'ils écrivent partout "surtout n'utilisez pas le compte administrateur en permanence, c'est dangereux".

offworld
17/03/2006, 12h41
Si a l'installation.

phoenix
17/03/2006, 12h54
Ah.

Et où dans l'installation stp ?
Parce que je ne vois pas à quelle moment de l'install c'est...remarque ça fait longtemps que j'ai pas installé de Windows http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

offworld
17/03/2006, 13h04
Quand on rentre un mot de passe administrateur, et ensuite il dit bien de creer un utilisateur.

pcamut
17/03/2006, 13h39
Oui je sais, mais normalement, tout le monde se met administrateur par défaut, et le système est vulnérable.[/b]


ca c'est la limite des systemes personnels (95,98,XP). POur ne parler que de XP le compte user normal est tellement mal foutue, sans parler de l'attributaion impossible de droits limité que tu ne peut pas faire autrement.

Parce qu'avec NT, et 2000/2003 l'utilisateur qui utilise ces systemes sait exactement quels droits il utilise. Lors de l'installation il est bien specifié 'compte administrateur' et compte utilisateur.

rm /
17/03/2006, 15h55
Salut,
<div class='quotetop'>Citation </div>
Oui je sais, mais normalement, tout le monde se met administrateur par défaut, et le système est vulnérable.[/b]
J'en connais qu y le font sous linux http://www.alionet.org/style_emoticons/<#EMO_DIR#>/scratch.gif
on en revien au problème utilisateur -sécurité- et os, seul l'administrateur est résonsable de la sécutiter,si il n'églige la securité on peux lui maitre le méllieur des systèmes entre les mains, il en fera toujour une passoire

tiwann
17/03/2006, 19h51
on va commencer à rejoindre le poste suivant là (http://www.alionet.org/index.php?showtopic=8987)

mais bon effectivement le mot de la fin est qu'il faut s'endormir et croire que sa distrib est la mieux sécuriser, il faut que l'admin sache bien la sécurisé, linux ou pas .

offworld
17/03/2006, 22h32
J'attend toujours des volontaire pour un bon book global multidistri sur la secu, bien evidenment sous license gpl.
Un book tellement bien que pour une fois c'est nos amis anglophone qui devront le traduire dans leurs langue.

JuTs
27/03/2006, 22h12
Quand on rentre un mot de passe administrateur, et ensuite il dit bien de creer un utilisateur.[/b]

Oui mais le premier compte qui est créé nécessite les droits administrateurs (il sert à quoi alors le compte appelé "Administrateur" ?).

Le problème vient aussi de logiciel externes qui obligent l'utilisateur à avoir des droits admin.

rm /
28/03/2006, 09h14
<div class='quotetop'>Citation </div>
Oui mais le premier compte qui est créé nécessite les droits administrateurs (il sert à quoi alors le compte appelé "Administrateur" ?).[/b]
Ben justement à crée et administré des comptes qui sont limité selon les besoins de l'utilisateur !