460Fermer462
Kevin KoflerLe 08/07/2008 à 13:45
Nil (./439) :
Sinon, je ne suis pas totalement d'accord avec
Pollux (./438) :
Et puis la critique que fait Kevin aux sous-systèmes non libres de Linux est juste : s'il y a un bug personne ne peut le corriger.
Bien sûr qu'en théorie, quelque chose de libre peut être corrigé par "n'importe qui". Mais c'est à double tranchant : on se dit toujours que quelqu'un a dû le faire et donc on fait confiance aveuglément au système alors que l'histoire a prouvé (en particulier à propos, dernièrement, de la faille d'OpenSSH due à un "nettoyage" un peu abusif du code) que cette théorie était difficilement visible en pratique.

Là, tu parles de failles de sécurité seulement. Un bogue, ça peut aussi être une erreur qui t'empêche de faire ton travail, et ceux-là, on voit tout de suite qu'ils y sont.

Et la faille n'était pas une faille de OpenSSH, mais de Debian. Il n'y a que Debian (et les distributions comme Ubuntu qui copient bêtement tout ce que fait Debian) qui a été touché, Fedora n'a jamais eu cette faille!
Pollux (./457) :
Tiens sinon question aux linuxiens : est-ce que concrètement il y a quelque chose qui empêche la personne qui compile le paquet openssh pour une distrib donnée d'introduire volontairement un bug de ce genre ? Par exemple, est-ce que la compilation est parfaitement déterministe et pourrait être revérifiée par un tiers qui regarderait le hash, ou est-ce qu'il faut juste prier pour que le mainteneur soit gentil ?

Dans les grandes distributions, les binaires sont compilés sur un serveur de la distribution à partir des sources fournies, donc il n'y a pas moyen d'uploader des binaires qui ne correspondent pas aux sources.
Oui, mais la grosse différence c'est que la version de Debian a reçu implicitement la confiance qu'on accorde à l'OpenSSH normal, alors que manifestement y a des gens qui ont touché à du code cryptographique sans le connaître. Sous Windows/OS X quand tu installes un binaire de Foobar Corp tu sais que personne en dehors de Foobar Corp n'y a touché (et tu peux vérifier le hash).

Ça dépend d'où vient ton logiciel, les sites pirates sont parfaitement en mesure de modifier les logiciels de manière néfaste (même sans les sources), par exemple en mettant un virus. Et puis il y a eu des scandales où des virus ont été trouvés même dans des logiciels "officiels", par exemple ceux livrés avec certains matériels (au moins 2 gros scandales comme ça l'année dernière).