ça chauffe sur tous les fronts

thermometre.gifJe ne parle pas ici du problème du réchauffement climatique, pour lequel je vous invite juste à agir (planter des arbres, réduire ses émissions de CO²), mais d’autres sujets « brulants » :

  1. Les DRM ont de plus en plus de plomb dans l’aile, et le plomb est mauvais pour la santé.
    La révolte gronde sur DIGG, ou des milliers publient dans des articles de Blog ou dans des commentaires les 16 chiffres Hexadécimaux suivants hexa.jpg
    Et ces 16 chiffres font trembler Digg qui s’évertue à modérer la vague, avant de renoncer face au tsunami. Kevin Rose, fondateur du site explique que maintenant, ils laissent ces codes en lignes sont prêt a en subir les conséquences. En fait, à cause du DMCA américain (ils ont leur DADVSI), le site Digg pourrait très bien être fermé par voie de justice, parce qu’il y aurait 😉 un rapport entre ces chiffres et la clé de décryptage des DVD-HD.
    Totalement crétins pose la question : comment arrêter la diffusion d’un truc aussi court, aussi simple ?
    Clubic propose une belle image de la technologie utilisée.

    Allez, encore un effort et on va avoir la peau des DRM…

  2. Dell défie Microsoft ?
    Suite à la vague de demandes d’utilisateurs, ça y est: Dell a annoncé qu’ils vont proposer leurs machines avec autre chose que Windows. C’est Ubuntu qui remporte la préférence de Dell, ce qui est plutôt logique.
    Bon, c’est clair que Dell propose du Redhat depuis des années sur ses serveurs, mais là, ce sont des configs grand public qui sont concernées, d’abord aux USA puis en Europe.
    Reste à savoir si les clients joueront le jeux en achetant du Dell/Ubuntu.
    HP a déjà tenté l’expérience avec des machines sous Mandriva, mais ça fait peu de bruit, en tout cas en Europe.
    Ami lecteur, pense y pour ton prochain PC !
  3. Les nouvelles méthodes de développement de Vista montrent leurs faiblesse : pourquoi SDL a laissé passé la faille ANI dans Vista ?
    Michael Howard explique : « La SDL n’est pas parfaite, et elle ne le sera probablement jamais. La découverte de ce bogue montre que nous avons encore beaucoup de travail devant nous ».
    Quelques commentaires sur le blog SDL sont intéressants en particulier celui de Xepol reproduit et traduit ci-après:

If you don’t bolt security in from the moment you type main(, you don’t have any.

Dropping functions like strcpy and memcpy make it easier to avoid bad patterns, but the problem starts even earlier – you MUST check the data you accepting to see if it is valid. Does it fit into a buffer? Does the size value provided match the size of the data provided? What is the extra bit of data hanging off the end? Is a 200K URL reasonable? How many headers does an HTTP request really need?

Should an app really have to crash and burn just because data arrives that can easily be identified as bogus instead of tossing it out, and possibly disconnecting a session it is involved with?

Security has to be written right into the code, you can’t add it in later with a bit of compiler magic.

Pretending you can « fix » old code with a few compiler flags is going to result in problems like this repeating endlessly. At some point, you have to stop, go back and FIX the foundation, or you might as well be building on quicksand.

Que l’on pourrait traduire par :

Si tu ne prend pas en compte la sécurité dès le moment ou tu tapes main( , tu n’as aucune sécurité.

Abandonner des fonctions comme strcpy et memcpy permettrait plus facilement d’éviter ces problèmes, mais le problème commence avant – tu DOIS vérifier les données que tu accepte pour contrôler quelles sont valides. Tiendront-elles dans le buffer ? La taille des données reçues correspond-elle avec ce qui est annoncé ? Quel est ce bit supplémentaire à la fin ? Est-il raisonnable d’avoir des URL de 200 ko ? Combien d’entêtes sont réellement nécessaires en HTTP ?

Est-ce qu’une application doit vraiment planter et être tuée simplement à cause de données externes qui pourraient facilement être identifiées comme défectueuses plutôt que de les jeter et de fermer la session concernée ?

La sécurité doit être vraiment prise en compte dans le code, on ne peut l’ajouter après coup en ajoutant un paramètre de compilation.

Prétendre que l’on peut corriger du code avec juste quelques changement de paramètres de compilation va produire perpétuellement des problèmes de ce genre. A un certain moment tu dois t’arrêter, revenir en arrière, et CORRIGER la fondation, ou alors tu peut continuer de bâtir sur du sable.

 

Si vous avez achetés Vista pour sa sécurité, c’est bien dommage pour vous.
Vous voulez un seau pour faire des pâtés ?:-D

 

 

 

______

François

Publicités

Pour éviter la surchauffe – selon Microsoft

thermometre.gifAprès Surchauffe à redmond, voici l’incroyable découverte du Directeur de l’équipe Windows kernel, si j’en crois sillicon.fr
En substance:

Un ordinateur arrêté consomme beaucoup moins qu’un pc en marche !

Waouh, la découverte du siècle !

Bon pour être honnête, il parle de laisser les PC se mettre en veille, voire en hibernation, plutôt qu’avec un screen-saver (écran de veille animé), et c’est juste.

Mais bon, quelle info tout de même !

D’autant plus ridicule au regard de l’actualité Microsoft : avec Vista plus gourmand en ressource qui consomme plus, et chaque pc neuf qui a demandé de l’énergie pour être construit.
Et aussi, l’ambition de Microsoft d’équiper chaque foyer avec un pc de bureau, un média center, un serveur pour partager tout cela, sans compter les outils de sauvagarde & co, l’accès haut débit pour télécharger les correctifs, les mises à jour d’anti-virus…

Bref, c’est ridicule. Plus on installe de PC et de serveurs, pour on dégrade la planète.

Les entreprises virtualisent les serveurs pour optimiser les ressources (espace physique, électricité, clim). Un terminal client léger (Wise, Linutop) est une meilleure solution qu’un gros PC sous Vista qui se met en veille. Sans compter les problèmes techniques liés à la mise en veille de PC.  Rajouter des serveurs à qui mieux-mieux est une démarche du passé.

J’ai l’impression que c’est l’équipe windows kernel qui a eu un coup de chaud.

François, au frais.

Windows Vista : La Vérité fera de vous des hommes libres

Avec son budget publicitaire de campagne électorale, Microsoft tente de transformer la réalité des faits, et de faire accepter que :

  1. Vista c’est moderne
  2. Vista c’est performant
  3. Vista c’est plus facile à utiliser
  4. Vista, y’a que les nuls qui ne l’ont pas

Pour parvenir à faire gober cela, pas moins de 100 Millions de dollars seront dépensés.
C’est dire combien la couleuvre risque de passer difficilement !

Alors Vista, parlons-en:
Lire le reste de cette entrée »

Abérations environnementales

Bon rassurez-vous, il n’y a pas de politique sur ce blog.

Je dois même dire que les débats politiques et la frénésie engendrée par les élections présidentielles françaises m’agacent au plus haut point, surtout sur les question écologiques. Vous allez voir, ils vont tous devenir écolos par peur de la notoriété de Nicolas Hulot, et toute cette agitation, tous les « engagements » de campagne seront vite oubliés après les élections.

Pourtant, c’est important l’écologie, et le respect de l’environnement mérite mieux que cela.
Mais préserver l’environnement et caresser les électeurs dans le sens du poil sont des objectifs divergeant.
Si on veut agir pour l’environnement, il n’y a pas 36 solutions: il faut optimiser l’utilisation des ressources naturelles.

C’est comme en informatique, il y a plusieurs manières de programmer :
– comme un bourrin sans rien optimiser (et à chaque version il faut doubler la RAM),
– comme un artiste en ne faisant rien d’inutile, en étant conscient que chaque élément chargé en mémoire, que chaque requête SQL peut pénaliser la performance de l’ensemble.
En fait, certains développeurs font du développement durable sans le savoir !

Alors, voici 3 domaines dans lesquels il faut agir, c’est à dire passer à l’acte, pas se contenter de paroles: l’électricité, l’eau et le pétrole.

Pas question non plus de se joindre au catastrophisme ambient sur le réchauffement climatique, parce qu’a mon sens, à force de crier au loup, et à dire n’importe quoi sur le sujet, certains nuisent à sa crédibilité. Si on a une belle arrière-saison ça y est, c’est le réchaffement climatique – n’importe quoi !
Le réchauffement climatique c’est sur la moyenne, et cela représente 1 à 2 degrés par siècle. L’effet peut être important, mais lorsqu’on est 10° au dessus de la « normale saisonnière » ce n’est pas 10° de réchauffement climatique, heureusement.

Alors plutôt que de jacasser, de se pencher sur des prévisions impossibles (dans 10 ans on aura tel climat rendez-vous compte ma bonne dame, alors que le temps dans 3 jours est bien souvent imprévu) autant agir la où c’est facile et utile.

Donc pas de bla-bla, il faut du résultat :

Lire le reste de cette entrée »