Bon, tout doucement j'ai aussi envie d'ajouter mon grain de sel...
A la base tout a fait d'accord avec le principe de l'open source, de ses
possibilites et de ses avantages.
J'en profite assez pour ne pouvoir qu'en etre partisan.
mais...
> Je dirais plutôt que plus un
> produit est diffusé avec son code de fonctionnement accessible à
tous, plus
> ça permet d'en étudier les failles, un peu comme si les banques
> publiaient leur plan sur internet et le fonctionnement de leur
> système de sécurité.
>
Un des arguments du libre, c'est justement que plus de personnes ont
accés au code, et plus nombreuses sont les personnes qui peuvent
signaler les éventuelles failles de sécurité. Ya même des assocs ou
des sites spécialisés dans ce genre de veille. C'est je crois comme ça
que SPIP est passé de la 1.5.1 à la 1.5.2
en principe oui. le fait que plein de gens regardent le code fait que
les erreurs sont trouvees plus vite.
mais ca fait aussi que les mechants hackers (et pas les gentils geeks)
les trouvent egalement tres vite.
et le temps que 1) il y ait un patch et 2) tout le monde l'ait installe,
les hackers s'amusent !
A l'inverse, ya qu'à constater comme le champion des logiciels
propriétaires à sources cachés, Microsoft, est aussi le champion des
failles de sécurité.
ça me semble assez définitif.
Oui et non... voir plus haut... la securite par l'obscurite ne protege
pas, mais ca rend la tache plus difficile...
Mais ce qui est con, c'est leur politique de mises a jour. ca laisse aux
hackers TRES longtemps avant de pouvoir faire qqch.
Et c'est pas tout de sortir un patch, encore faut-il que les gens
l'installent !!
Et ne me dites pas que c'est de la theorie, y'a qu'a voir le probleme
actuel avec OVH, combien de personnes utilisent encore la 1.5.1 ?
Idem avec les derniers vers pour IIS et Apache, ils se basaient sur des
failles connues depuis plusieurs mois, mais que peu d'admins avaient
bouchees.
En ce qui concerne SPIP (revenons a nos moutons...), le probleme a la
base etait que selon le cas y'avait des trucs dans les fichiers des
squelettes que l'utilisateur n'est normalement pas cense voir (comme dit
: code PHP avec mot de passe d'acces a la base de donnees, code PHP
proprietaire que la societe ne souhaite pas diffuser ...) et que selon
le cas on peut lire en accedant directement au fichier.
Et c'est grave si ca tombe dans de mauvaises mains ! qui de vous fait un
dump des articles tous les jours des fois qu'un malintentionne efface la
base ?
La GPL d'ailleurs n'implique pas de mettre tes squelettes a la
disposition de tout le monde. C'est un choix que chacun peut faire, mais
il doit y avoir la possibilite de les planquer si on le veut. Je pense
que la meilleure solution est de faire un fichier zip avec les
squelettes que l'on propose au download, comme ca on a le controle du
contenu (par ex. en supprimant les mots de passe a l'interieur, ou alors
en supprimant certaines pages). Comme ca c'est clair si on les diffuse
ou pas.
C'est mon avis, pas la peine de me taper !!
Joel
oh le méchant hacker :-b ...bon, en tout cas le sens des mots évolue, juste voir le sens primaire de "geek" et de "nerd" :-p