ça chauffe sur tous les fronts

thermometre.gifJe ne parle pas ici du problème du réchauffement climatique, pour lequel je vous invite juste à agir (planter des arbres, réduire ses émissions de CO²), mais d’autres sujets « brulants » :

  1. Les DRM ont de plus en plus de plomb dans l’aile, et le plomb est mauvais pour la santé.
    La révolte gronde sur DIGG, ou des milliers publient dans des articles de Blog ou dans des commentaires les 16 chiffres Hexadécimaux suivants hexa.jpg
    Et ces 16 chiffres font trembler Digg qui s’évertue à modérer la vague, avant de renoncer face au tsunami. Kevin Rose, fondateur du site explique que maintenant, ils laissent ces codes en lignes sont prêt a en subir les conséquences. En fait, à cause du DMCA américain (ils ont leur DADVSI), le site Digg pourrait très bien être fermé par voie de justice, parce qu’il y aurait😉 un rapport entre ces chiffres et la clé de décryptage des DVD-HD.
    Totalement crétins pose la question : comment arrêter la diffusion d’un truc aussi court, aussi simple ?
    Clubic propose une belle image de la technologie utilisée.

    Allez, encore un effort et on va avoir la peau des DRM…

  2. Dell défie Microsoft ?
    Suite à la vague de demandes d’utilisateurs, ça y est: Dell a annoncé qu’ils vont proposer leurs machines avec autre chose que Windows. C’est Ubuntu qui remporte la préférence de Dell, ce qui est plutôt logique.
    Bon, c’est clair que Dell propose du Redhat depuis des années sur ses serveurs, mais là, ce sont des configs grand public qui sont concernées, d’abord aux USA puis en Europe.
    Reste à savoir si les clients joueront le jeux en achetant du Dell/Ubuntu.
    HP a déjà tenté l’expérience avec des machines sous Mandriva, mais ça fait peu de bruit, en tout cas en Europe.
    Ami lecteur, pense y pour ton prochain PC !
  3. Les nouvelles méthodes de développement de Vista montrent leurs faiblesse : pourquoi SDL a laissé passé la faille ANI dans Vista ?
    Michael Howard explique : « La SDL n’est pas parfaite, et elle ne le sera probablement jamais. La découverte de ce bogue montre que nous avons encore beaucoup de travail devant nous ».
    Quelques commentaires sur le blog SDL sont intéressants en particulier celui de Xepol reproduit et traduit ci-après:

If you don’t bolt security in from the moment you type main(, you don’t have any.

Dropping functions like strcpy and memcpy make it easier to avoid bad patterns, but the problem starts even earlier – you MUST check the data you accepting to see if it is valid. Does it fit into a buffer? Does the size value provided match the size of the data provided? What is the extra bit of data hanging off the end? Is a 200K URL reasonable? How many headers does an HTTP request really need?

Should an app really have to crash and burn just because data arrives that can easily be identified as bogus instead of tossing it out, and possibly disconnecting a session it is involved with?

Security has to be written right into the code, you can’t add it in later with a bit of compiler magic.

Pretending you can « fix » old code with a few compiler flags is going to result in problems like this repeating endlessly. At some point, you have to stop, go back and FIX the foundation, or you might as well be building on quicksand.

Que l’on pourrait traduire par :

Si tu ne prend pas en compte la sécurité dès le moment ou tu tapes main( , tu n’as aucune sécurité.

Abandonner des fonctions comme strcpy et memcpy permettrait plus facilement d’éviter ces problèmes, mais le problème commence avant – tu DOIS vérifier les données que tu accepte pour contrôler quelles sont valides. Tiendront-elles dans le buffer ? La taille des données reçues correspond-elle avec ce qui est annoncé ? Quel est ce bit supplémentaire à la fin ? Est-il raisonnable d’avoir des URL de 200 ko ? Combien d’entêtes sont réellement nécessaires en HTTP ?

Est-ce qu’une application doit vraiment planter et être tuée simplement à cause de données externes qui pourraient facilement être identifiées comme défectueuses plutôt que de les jeter et de fermer la session concernée ?

La sécurité doit être vraiment prise en compte dans le code, on ne peut l’ajouter après coup en ajoutant un paramètre de compilation.

Prétendre que l’on peut corriger du code avec juste quelques changement de paramètres de compilation va produire perpétuellement des problèmes de ce genre. A un certain moment tu dois t’arrêter, revenir en arrière, et CORRIGER la fondation, ou alors tu peut continuer de bâtir sur du sable.

 

Si vous avez achetés Vista pour sa sécurité, c’est bien dommage pour vous.
Vous voulez un seau pour faire des pâtés ?:-D

 

 

 

______

François

Une Réponse to “ça chauffe sur tous les fronts”


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :