Sécurité et open source : le prix de la transparence

Je cite : "
Quand un projet communautaire découvre un bogue de sécurité dans le logiciel, elle le corrige aussi vite que possible, souvent en gardant confidentielle les informations concernant le problème tant que la version corrigée n'est pas dans les mains des utilisateurs.

Dans le monde du logiciel propriétaire - et parfois celui de l' open source fait par une société qui a le culte du secret -, la transparence est une exception, le silence la règle. Si on trouve en interne des trous de sécurité, on va les corriger silencieusement, sans rien dire aux clients. Ces trous existent, mais on ne communique pas dessus et ils n'apparaissent pas dans les rapports, donnant ainsi une fausse impression de sécurité."


Donc pour résumer :
1)Open source : "en gardant confidentielle les informations concernant le problème tant que la version corrigée n'est pas dans les mains des utilisateurs."

2)Propriétaire : "Je cite : "
Quand un projet communautaire découvre un bogue de sécurité dans le logiciel, elle le corrige aussi vite que possible, souvent en gardant confidentielle les informations concernant le problème tant que la version corrigée n'est pas dans les mains des utilisateurs.

Dans le monde du logiciel propriétaire - et parfois celui de l' open source fait par une société qui a le culte du secret -, la transparence est une exception, le silence la règle. Si on trouve en interne des trous de sécurité, on va les corriger silencieusement, sans rien dire aux clients. Ces trous existent, mais on ne communique pas dessus"

Question : Quelle est la différence entre les deux.Vous dîtes que open-source et propriétaire ne parlent pas des failles ! N'y a-t-il pas un problème dans la rédaction de l'article et/ou des les propos/réflexion tenus ici ?

Je pense simplement et justement qu'il est mieux d'éviter de trop parler des failles de sécuritée sous peine d'être exploitée très rapidement et ce bien avant la moindre correction apportée.

Voici ci-dessous des preuves que vous ne maîtrisez pas le sujet que vous essayer de faire passer ici :

Concernant l'open source et concernant les failles Linux voici une petite liste exhaustive dont beaucoup de sont toujours pas résulues depuis pas mal de temps:
'http://www.vupen.com/bulletins-linux/'



Concernant l'open source et Mozilla (qui vous est cher Mr Nitot), voici une autre petite liste du même acabit (uniquement les 100 premières réponses).Aller sur 'http://www.vupen.com/searchengine.php" et taper 'Mozilla' en mot clée.

05.03.2009 : Mozilla Firefox Code Execution and Security Bypass Vulnerabilities
06.02.2009 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
03.02.2009 : Mozilla Products Code Execution and Security Bypass Vulnerabilities
15.01.2009 : SuSE Security Update Fixes Mozilla Products Code Execution Issues
07.01.2009 : Ubuntu Security Update Fixes Thunderbird Code Execution Vulnerabilities
22.12.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
22.12.2008 : SuSE Security Update Fixes Mozilla Products Code Execution Issues
17.12.2008 : Mozilla Products Code Execution and Security Bypass Vulnerabilities
27.11.2008 : SuSE Security Update Fixes Mozilla Code Execution Vulnerabilities
26.11.2008 : Ubuntu Security Update Fixes Thunderbird Code Execution Issues
24.11.2008 : Slackware Security Update Fixes Thunderbird Code Execution Issues
19.11.2008 : Mandriva Security Update Fixes Firefox Code Execution Vulnerabilities
17.11.2008 : Fedora Security Update Fixes Mozilla Products Code Execution Issues
17.11.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
13.11.2008 : Mozilla Products Code Execution and Security Bypass Vulnerabilities
16.10.2008 : Adobe Flash Player Multiple Remote Security Bypass Vulnerabilities
15.10.2008 : Mozilla Firefox Shortcut Handlingg Information Disclosure Vulnerability
09.10.2008 : SuSE Security Update Fixes Mozilla Code Execution Vulnerabilities
29.09.2008 : Ubuntu Security Update Fixes Thunderbird Multiple Vulnerabilities
29.09.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
29.09.2008 : Slackware Security Update Fixes Thunderbird Multiple Vulnerabilities
24.09.2008 : Redhat Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
24.09.2008 : Mozilla Products Code Execution and Security Bypass Vulnerabilities
04.09.2008 : Mandriva Security Update Fixes Opensc CardOS Initialization Weakness
06.08.2008 : Gentoo Security Update Fixes Mozilla Code Execution Vulnerabilities
30.07.2008 : Slackware Security Update Fixes Thunderbird Code Execution Issues
30.07.2008 : Ubuntu Security Update Fixes Thunderbird Code Execution Issues
28.07.2008 : Mandriva Security Update Fixes Thunderbird Code Execution Issues
18.07.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
17.07.2008 : Mozilla Firefox for Mac OS X GIF Rendering Code Execution Vulnerability
14.07.2008 : Sun Security Update Fixes Mozilla Thunderbird Multiple Vulnerabilities
11.07.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
03.07.2008 : Ubuntu Security Update Fixes Firefox Code Execution Vulnerabilities
02.07.2008 : Mozilla Products Remote Code Execution and Security Bypass Issues
19.06.2008 : Mozilla Products Code Execution and Injection Vulnerabilities
17.06.2008 : SuSE Security Update Fixes Code Execution and DoS Vulnerabilities
06.06.2008 : Mandriva Security Update Fixes Mozilla Code Execution Vulnerabilities
26.05.2008 : Slackware Security Update Fixes Thunderbird Code Execution
23.05.2008 : Gentoo Security Update Fixes Mozilla Code Execution Vulnerabilities
21.05.2008 : FireFTP Add-on for Firefox Remote Directory Traversal Vulnerability
21.04.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerability
17.04.2008 : Mozilla JavaScript Garbage Collector Code Execution Vulnerability
31.03.2008 : Slackware Security Update Fixes Firefox Code Execution Vulnerabilities
31.03.2008 : Mandriva Security Update Fixes Firefox Code Execution Vulnerabilities
26.03.2008 : Mozilla Thunderbird Code Execution and Cross Site Scripting Issues
26.03.2008 : Mozilla Firefox and SeaMonkey Multiple Remote Code Execution Issues
07.03.2008 : Mandriva Security Update Fixes Thunderbird Multiple Vulnerabilities
05.03.2008 : Ubuntu Security Update Fixes Thunderbird Multiple Vulnerabilities
03.03.2008 : Slackware Security Update Fixes Thunderbird Multiple Vulnerabilities
25.02.2008 : Mandriva Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
19.02.2008 : Mandriva Security Update Fixes Thunderbird Code Execution Issues
18.02.2008 : SuSE Security Update Fixes Mozilla Products Multiple Vulnerabilities
14.02.2008 : Fedora Security Update Fixes Mozilla Seamonkey Multiple Vulnerabilities
14.02.2008 : Slackware Security Update Fixes Mozilla Products Multiple Vulnerabilities
13.02.2008 : Fedora Security Update Fixes Mozilla Seamonkey Multiple Vulnerabilities
13.02.2008 : Fedora Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
12.02.2008 : rPath Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
08.02.2008 : Ubuntu Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
08.02.2008 : Redhat Security Update Fixes Mozilla Thunderbird Multiple Vulnerabilities
08.02.2008 : Redhat Security Update Fixes Mozilla Seamonkey Multiple Vulnerabilities
08.02.2008 : Redhat Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
08.02.2008 : Mozilla Thunderbird Multiple Security Bypass and Code Execution Issues
08.02.2008 : Mozilla Firefox and SeaMonkey Multiple Remote Code Execution Issues
24.01.2008 : Mozilla Products "chrome:" URI Handling Directory Traversal Vulnerability
09.01.2008 : HP-UX Security Update Fixes Firefox Command Execution Vulnerabilities
09.01.2008 : HP-UX Security Update Fixes Thunderbird Code Execution Vulnerabilities
02.01.2008 : Gentoo Security Update Fixes Mozilla Products Multiple Vulnerabilities
20.12.2007 : Redhat Security Update Fixes Mozilla Thunderbird Multiple Vulnerabilities
20.12.2007 : Mozilla Thunderbird Code Injection and Memory Corruption Vulnerabilities
14.12.2007 : Mandriva Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
10.12.2007 : Fedora Security Update Fixes Mozilla Seamonkey Multiple Vulnerabilities
10.12.2007 : rPath Linux Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
07.12.2007 : SuSE Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
05.12.2007 : Turbolinux Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
04.12.2007 : Fedora Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
04.12.2007 : Slackware Security Update Fixes Mozilla Seamonkey Vulnerabilities
03.12.2007 : Fedora Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
28.11.2007 : Turbolinux Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
28.11.2007 : Turbolinux Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
28.11.2007 : Slackware Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
28.11.2007 : Ubuntu Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
27.11.2007 : Redhat Security Update Fixes Mozilla Seamonkey Multiple Vulnerabilities
27.11.2007 : Redhat Security Update Fixes Mozilla Firefox Multiple Vulnerabilities
26.11.2007 : Mozilla Products Memory Corruption and Cross-site Request Forgery Issues
22.11.2007 : Slackware Security Update Fixes Thunderbird Command Execution Issues
20.11.2007 : Gentoo Security Update Fixes Thunderbird Code Execution Vulnerabilities
14.11.2007 : Gentoo Security Update Fixes Mozilla Products Multiple Vulnerabilities
09.11.2007 : Sun Solaris Mozilla JavaScript Engine Command Execution Vulnerabilities
09.11.2007 : Mozilla Firefox JAR Protocol Client-Side Cross Site Scripting Vulnerability
31.10.2007 : Sun Solaris Mozilla Layout Engine Command Execution Vulnerabilities
30.10.2007 : SuSE Security Update Fixes Mozilla Products Multiple Vulnerabilities
29.10.2007 : Sun Solaris Mozilla JavaScript Engine Command Execution Vulnerabilities
25.10.2007 : Slackware Security Update Fixes Mozilla Products Multiple Vulnerabilities
25.10.2007 : Fedora Security Update Fixes Firefox Command Execution Vulnerabilities
25.10.2007 : Mandriva Security Update Fixes Firefox Code Execution Vulnerabilities
24.10.2007 : Ubuntu Security Update Fixes Thunderbird Code Execution Vulnerabilities
23.10.2007 : Sun Solaris Mozilla Layout Engine Memory Corruption Vulnerabilities
19.10.2007 : Mozilla Thunderbird Multiple Client-Side Code Execution Vulnerabilities
19.10.2007 : Mozilla Firefox/SeaMonkey Code Execution and Information Disclosure
15.10.2007 : Sun Security Update Fixes Mozilla Multiple Code Execution Vulnerabilities


Et que dire du bug:"Les utilisateurs de Firefox 3 interdits de vote aux prud'homales"

Le problème était la RFC2616 a été violée par Firefox3 et qui empéchait les utilisateurs de Firefox de pouvoir voter aux élection prud'hommale.
'http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9.2'

Le viol de cette RFC, autorisait à un utilisateur d'usurper l'identité d'un autre en passant juste après lui sur le même ordinateur.


Vous Mr Nitot, avez bien essayé de camoufler ce bug de Firefox en mettant toute l'affaire du problème sur le dos de Thalès et en niant connaître un éventuel bug :

"Le président de Mozilla Europe, Tristan Nitot, n'a pas caché sa stupeur en apprenant la nouvelle. « Moi aussi, j'ai bondi ! » indiquait-il sur son blog dès le 20 novembre. « Nous n'étions absolument pas au courant du bug », nous a-t-il précisé. « Il est tout à fait possible qu'il y ait eu un problème avec Firefox 3 au cours des tests de développement, une régression par rapport à la version 2, mais nous aurions pu le corriger si nous l'avions su », regrette-t-il."

Ou même en allant voir votre site personnel : 'http://standblog.org/blog/post/2008/11/20/Firefox-3-et-les-elections-prud-homales'

Mozilla(donc vous) étiez au courant depuis pas mal de temps : 'https://bugzilla.mozilla.org/show_bug.cgi?id=441751'

Question : Qu'en était-il alors de la fameuse réactivité de l'open source ?

Je pense vraiment Mr Nitot que vous d'essayer de faire prendre des vessies pour des lanternes aux lecteurs de 01net.

Vous avez des convictions et je les respecte mais si vous plaît arrêter d'essayer de rassembler tout le monde à vos idées en débitant des mensonges.

Vous vous discréditez, vous utilisez pour exemple la base même de l'article de monsieur Nitot.
Pire vous vous répétez en mettant le même commentaire à chaque article du même auteur. Revenant éternellement sur le même bug (n'y en a-t-il vraiment qu'un seul sur firefox ?).

S'il vous plait cessez de polluer 01.net.

Apparemment vous ne savez pas lire.

Relisez mon post et agitez un tant son peu votre neuronne pour comprendre la suite logique de mon post.

Dans un deuxième temps vous constaterez que la faille de sécurité ennoncée (faille élection prud'hommale) était connue depuis bien longtemps par Mozilla et donc Mr Nitot qui a nier cette faille lorsqu'elle à été constatée puis annoncée.

Ensuite et pour finir vous prendrez le temps de lire la liste de failles Linux et Mozilla (donc Firefox) que je vous ai livré sur un beau plateau.

Après et seulement après vous pourrez ici condredire mes arguments. Arguments, chose que vous êtes apparemment incapable de fournir pour défendre ici Mr Nitot.

Mr Nitot est ici incapable de défendre son sujet.Il est mal placé pour parler d'un sujet dont il ne maîtrise rien.Il est mal placé pour parler d'un sujet dont lui même et son entreprise son incapable de respecter à la lettre.

PS : Prenez le temps de lire ce que les gens écrire avant de leur répondre n'importe quoi.

Hormis le fait que vous portiez un jugement sur M. Nitot (oui pour info Mr c'est de l'anglais cela veut dire Mister alors que Monsieur en français c'écris M. (en même temps je suis mal placé pour parler vu les fautes que je fais...)) donc vous portez un jugement personnel sur une personne que vous ne connaissez pas (ou du moins ne semblez pas connaître). De plus vous mettez en doute sa bonne foie. Qu'est ce qui vous permez de dire que M. Nitot connaissais ce bug personnellement ? Pensez vous qu'il passe sa vie sur le bz de Mozilla et qu'il y connais tous les bugs rapportés ?

Et pour revenir au coeur de l'article que vous prenez visiblement tant de plaisir à dénigrer, puis-je vous demander:

Où est la liste de bugs d'Internet Explorer ? (Et ne me dites pas qu'il n'y en a pas... rien que le non support des standards pourrais être considérer comme un bug)

Où sont les correctifs appliqué à IE ? Quand le sont-ils ?

Et vous que faites vous pour que Firefox (où un autre logiciel) soit plus sûr, plus rapide, supporte mieux les standards ?

"La critique est facile l'art est difficile" dis le proverbe et forcé de constater que vous avez la verve favcile...

Mon post n'a pas pour but de juger Tristan Nitot mais seulement de montrer sa mauvaise foi quand il s'agit de défendre le libre et l'open-source.

A votre question "De plus vous mettez en doute sa bonne foie. Qu'est ce qui vous permez de dire que M. Nitot connaissais ce bug personnellement ? Pensez vous qu'il passe sa vie sur le bz de Mozilla et qu'il y connais tous les bugs rapportés ?
"
J'ai à la fois donné le lien vers le blog de Mr Nitot et aussi le lien vers le site de Mozilla où était recencé la faille depuis près de 6 mois
Tristan Nitot après la diffusion du bug/faille de FF3 au moment de l'élection prud'hommale:
"J'ai eu au téléphone le chef de projet de Thalès (prestataire pour ce projet) et j'attends de ses nouvelles pour préciser l'origine du problème. Je suis en contact avec mes collègues en Amérique (Mike Shaver et Jonathan Nightingale pour les nommer) et on cherche ce qui peut se passer. Je tiendrais mes lecteurs au courant ! Dans tous les cas, aucun logiciel n'était parfait, il est possible que Thalès ait rencontré un problème avec Firefox 3 et n'ai pas pris le temps de nous faire remonter l'info (ce qui est dommage, je vous l'accorde), ce qui nous aurait permis de comprendre le problème et son ampleur et de travailler à sa résolution plus tôt."

Ainsi vous comprendrez qu'il est difficile d'écouter Mr Nitot raconter n'importe quoi sur une pseudo meilleure sécurité du libre apportée par une diffusion et correction rapide de ses failles de sécurité.

Concernant une sécurité,rapidité et respect des standards de Firefox, il ne vous faut surtout pas oublier que la Opéra et Safari qui ne sont pas open-source font mieux au niveau du respect des standard eet le dernier Safari est largement plus rapide que Firefox 3.
D'ailleurs un autre challenger risque bientôt de mettre une claque à FF3, j'ai nommé la prochaine version de Chrome basée sur Safari en encore plus rapide.

Alors une question reste en suspend : "Dans peu de temps que restera-il vraimentà Firefox pour se démarquer des autres navigateur mieux logés.

Une des meilleure preuve que Firefox stagne et se fait rattraper/dépasser par les concurrent non open-source est que Mozilla prend les devants en demandant aux gens de leur donner des idées pour leur prochainn navigateur...

En conclusion je retournerai votre phrase "La critique est facile l'art est difficile" vers Mr Nitot qui parle des failles du propriétaire mais qui est incapable d'avouer les propres erreurs de l'entreprise qui le nourri.

(Au passage je prierai 01net de ne pas supprimer mes messages ne comportant pourtant aucune insulte).

Votre précédent titre était diffamatoire.

Cordialement,
La Rédaction

...Qui raconte n'importe quoi pour changer.

Tu sais lire au moins ? Ou tu n'est pas français et tu n'arrive a saisir tout les éléments dans un blog ?

Prouve moi que je me trompe et alors peut être je changerai d'avis mais pour l'instant tu n'apporte aucun élément contradictoire.
Dans l'état des choses actuelles, mes propos restent donc inchangés. (Bonne chance)

Le moteur de Safari est basé sur Konqueror, qui lui est libre, puis Apple l'a rendu libre en le publiant avec ses implémentations sous le nom de Webkit.
Et il ose dire que Nitot ne devrait pas parler de ce qu'il ne connaît pas, on croit rêver.
Paille, poutre, oeil...

J'ai l'impression que vous n'avez pas saisi exactement les propos de M. Nitot...

Il avance que dans le monde du libre, même si le DETAIL TECHNIQUE de l'exploitation des failles est lui aussi tenu secret, le bug est par contre lui publié. Contrairement au monde du privé ou bien souvent (sauf bug rendu public par un labo ou des particuliers) le bug n'apparait pas si il est corrigé en interne.

Ca ne vous semble pas logique ? Vous croyez que c'est intelligent de publier un exploit en même temps que de révéler la faille ? Franchement...

"Je pense simplement et justement qu'il est mieux d'éviter de trop parler des failles de sécuritée sous peine d'être exploitée très rapidement et ce bien avant la moindre correction apportée."

On dirait que vous pensez trop...
Les efforts des "professionnels" de l'exploitation de failles connaissent toutes les petites combines et n'ont pas besoin de publication pour les trouver. Au contraire ne pas publier les aide à les garder pour eux et à les exploiter des années sans risquer de voir la faille comblée. La sécurité par le secret n'a jamais été considérée comme quelque chose de sûr... Etes-vous certains de maîtriser votre sujet ?

Ensuite vous donnez une liste de bug dont certains non résolu... Quelle est la part des failles critiques/vraiment gênante non résolu dans votre résultat ? Merci de détailler un peu mieux vos chiffres.
Et qui plus est... La liste de bug est disponible et publiée. Ce qui n'est pas souvent le cas dans le privé (ou de manière TRES parcellaire).

Enfin pour le bug de Firefox 3... Ca ne vous es pas apparu évident que M. Nitot pouvait ne pas avoir un contact immédiat avec la liste des bugs n'étant pas développeur ?
Il y a un temps de latence inévitable pour faire le lien entre un "président" qui entend parler d'un truc étrange dans la presse et le développeur qui peut établir le rapport avec un bug qu'il aurait publié. Je pense que ça peut se comprendre.
Ensuite la lenteur de correction... Personne n'est parfait, le risque peut aussi être mésestimer (qualifié de "Major" chez Mozilla, donc un peu plus grave que la normale, ça peut expliquer la lenteur, il y a au dessus "Critical" et "Blocker"...). Le bug peut être vraiment complexe à résoudre et malgré toute la bonne volonté du développeur, ça peut prendre du temps...

Mais bon, au moins, la transparence du système vous a donné un exemple et la matière à vos critiques. Pourriez vous y arriver avec un bug du privé ? Pas certain... C'est justement ce qui est mis en avant par M. Nitot ! Marrant non ?

D'autre part... C'est UN bug. Vous avez beau jeux de démontrer votre "théorie" et de la généraliser sur un seul événement...

Webkit est un fork du moteur de rendu KHTML du projet KDE utilisé notamment dans le navigateur Konqueror.Elle intègre deux sous-bibliothèques : WebCore et JavaScriptCore correspondant respectivement à KHTML et KJS.

Définition de fork:
Parfois nommé fork. L'utilisation, parfois critiquée à bon escient, de l'anglicisme fork dans le contexte de projet informatique est une utilisation imagée du mot fork utilisé en programmation : on crée un nouveau projet à partir d'un autre à l'identique, sans détruire celui-ci.

Sinon à part que le moteur de Safari est libre et open-source, le binaire de Safari lui n'est pas open-source.
Tout comme Chrome est open-source mais n'a malgré cela pas encore été porté sur les autres OS que Windows.(Incompétence du monde libre à recompiler les sources ?)

N'as tu trouver que cette fausse information pour essayer de défendre Mr Nitot ?

Ce dernier doit être encore plus désemparé de voir que ceux qui essayent de le défendre sont aussi largués que lui.

Sans rancune.

Vous m'excuserez ne pas répondre à vos réponses plus absurdes les unes que les autres mais tout comme Mr Nitot faire de la propagande A LA UNE de 01net (ainsi que sur son blog), je vais quitter ce forum QUI N'EST PLUS A LA UNE DE L'ACTUALITE et donc moins présent aux yeux des internautes.
Vous pouvez continuer à jouer à me répondre n'importe quoi, cela n'a plus aucune importance à mes yeux et aux yeux des lecteurs...

Amusant, vous demandez des arguments... Quand il y en a ou que l'on vous demande des comptes, vous vous esquivez par une pirouette d'outrage et d'offuscation.

Je pense que vous faite bien d'aller voir ailleurs.

Ce qui est encore plus amusant, c'est que vous semblez persuadé que les "lecteurs" sont de votre avis. Comme si vous sentiez votre opinion (oui car cela ne reste que des avis personnels...) investi d'une valeur hors du commun.

Peut-être devriez vous écrire un contre article et le faire publier ? Je sens que les commentaires seraient très amusant eux aussi.

Bonne route !

Il est consternant de voir que vous ne compreniez pas pourquoi je ne vais pas plus loin dans ce débats.

Je l'ai dit : "Je n'attend qu'une chose c'est que l'article ne soit plus à la une".
Une fois que c'est le cas, je n'ai plus aucune raison de rester.
Il est juste déplorable que vous ayez mis autant de temps à répondre et pour quelles réponses ???

Adieu ou peut être à bientôt sur un autre forum.

PS : J'ai déjà préparé mes réponses à vos soit disant réponse mais vous m'excuserez de les garder pour une prochaine UNE sur le sujet.

Je dois décerner l'oscar de la mauvais foi, là.
Un copy/paste de Wikipedia qui conforte ce que j'ai écris et tu considères que les points te reviennent ?

Non, pas un oscar, une médaille olympique !

Et surtout gardez les bien au chaud. Elles sont probablement passionnantes.

Bonjour,
Bien-sur qu'il y a des failles dans tout logiciel "open source", mais ni plus ni moins que dans les autres.
Dans le cas de la fondation Mozilla, lorsqu'une faille de sécurité est découverte, la correction arrive environ 24 heures après.
J'habite dans le Pacifique Sud, je reçois souvent l'alerte en même temps que le correctif, à cause du décalage horaire.
(Je ne me lève pas la nuit pour relever les alertes.)

Certaines failles de IE sont corrigées plusieurs semaines après leur découverte.
Une faille découverte il y a une quinzaine de jours dans MS Excel n'a toujours pas été colmatée...

Voir sur ce lien : Microsoft Security Advisory (968272)
et sur celui-ci :
http://www.zdnet.fr/actualites/informatique/0,39040745,39387637,00.htm?xtor=E(...)

Je n'ai pas eu à me fatiguer à chercher, j'ai reçu l'info hier et j'en reçois régulièrement des comme ça.

Concernant les failles Mozilla que tu répertorie, je note un progrès énorme.
En effet entre le 01/01/2009 et ce jour il n'y a que 4 failles listée, l'année dernière pour la même période, il y en avait beaucoup plus.
Preuve que pour un produit aussi jeune et basé sur la bonne volonté de développeurs souvent bénévoles, les progrès sont au rendez-vous.
A bientôt.
Jonas.

De toute façon entre un os payant et un os libre le choix est vite vu.Le payant tu passes des lustres à faire les mises à jour plutôt que de bosser,tu as l'impression d'avoir acheté au prix fort un truc à trois pattes.Et le libre est moins cher vu le prix des licences.Et tu ne prend pas un point exe caché en pleine face.Je suis sous linux sans antivirus sous XP vista tu ne reste pas sur le net deux heures sans te prendre un virus .Mon choix est fait,
et en plus tu peux bricoler ton OS a ta guise.Cordialement

"et en plus tu peux bricoler ton OS a ta guise."

Le mot est lâché "Bricoler".

Définitions de bricoler :
bricoler, verbe intransitif
Sens 1 : Faire de petits travaux manuels d'aménagement, de réparation. Synonyme entretenir.

Sens 2 : Réparer ou construire avec des moyens de fortune.

Conclusion : Je nous sommes d'accord, Linux est bien un OS de bricoleurs.

Bricoleur, oui, mais bricoleur professionel...

Quelques exemples de petits bricoleurs :
certains google, yahoo, ebay, dailymotion, youtube, orange, free, etc...

Quand on parle de libre... voyons à qui cela s'adresse et avant de devenir un grand bricoleur, on passe par certaines étapes ;)

Ok pour les OS sous fenêtres, dont windows est encore le plus mûr (quand on apprécie de formatter son PC tous les 1 à 2 ans), maintenant, l'innovation (aspect techno'), le nombre de distrib' (aspect diversité), le respect des normes (aspects convergence), les noyaux tux, bien que très jeunes (et ralentis sur les compatibilités par les accords propriétaires, le refus de se mettre aux normes) sont dans une voie bien plus qu'honorables...

Avant de bricoler les avis, faisons un tour vers les synonymes de bricoler (en partant du pseudo linuxien en herbe"...) >> "entretenir, fabriquer, refaire, réparer, restaurer, travailler. "

Voilà qui peut si ce n'est faire avancer le débat, aller dans le sens de notre cher Mozilla Director (beau moteur de rendu pour FF3, au passage ;) un simple CTRL+roulette vaut le détour -à essayer sur IE7 pour rigoler).

Cordialement,

OneMoreSheller

Avant de bricoler les avis, faisons un tour vers les synonymes de bricoler (en partant du pseudo linuxien en herbe"...) >> "entretenir, fabriquer, refaire, réparer, restaurer, travailler. "Tu fais quoi dans ton garage?Et entre nous ton logiciel clé en main dont tu n'as aucun droit que celui de le louer?tu fais quoi?ah oui j'oubliai du formatage? et entre nous heureusement qu'il y a des bricoleurs pour vous faire avancer. et entre nous la roulette elle est Russe ?IE 8 n'a pas vu le jour avec seven ?je l'ai essayé mieux que Vista mais peut mieux faire on reprend les mêmes lignes et on secoue le tout et on trouve des gus pour acheter c'est top Bill a de beaux jours devant lui encore.Cordialement

On ne peut pas bricoler.
On ene peut pas adapter son système à ses besoins.
Heureusement, au 15eme plantage de explorer.exe, un joli pop-up nous permets d'envoyer un rapport de bug à Microsoft.
Et puis, deux reboots par jour, ce n'est pas cher payé pour vider sa RAM, hein...

C'est dingue le nombre de personnes qui aiment à venir cracher au visage de Tristan à chaque fois qu'il écrit un article sur ce site.
A moins que ce soit la même IP derrière chaque pseudo, ce qui ne m'étonnerait pas.

voir un site de référence sur les failles de sécurité : http://secunia.com/advisories/product/
Des comparaisons très intéressantes peuvent être menées.

Firefox : http://secunia.com/advisories/product/19089/
versus
IE : http://secunia.com/advisories/product/12366/

Debian Lenny : http://secunia.com/advisories/product/21392/
versus
Windows Vista :
http://secunia.com/advisories/product/13223/

Ce qui ne veut pas dire qu’il n’y a pas de bons logiciels closed source (Opera par exemple en est un, même si personnellement je lui préfère Firefox et Links), mais ça reste rare en comparaison de l’open source…