34290

Ben non, et c'est justement tout le problème. Ils n'ont pas intérêt à ce qu'il y ait des failles facilement exploitables dans le code qu'ils diffusent, mais en même temps, ils ont intérêt à y glisser des failles qu'eux seuls connaissent (en théorie). On connaît les fois où ils se sont fait choper, mais pas les fois où ils ont réussi.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

34291

Apres sur un boot loader, c'est pas non plus si difficile de détecter une faille. Ce n'#est pas un algo de chiffrement avec des valeurs choisies avec soin...
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34292

Zerosquare (./34290) :
Ben non, et c'est justement tout le problème. Ils n'ont pas intérêt à ce qu'il y ait des failles facilement exploitables dans le code qu'ils diffusent, mais en même temps, ils ont intérêt à y glisser des failles qu'eux seuls connaissent (en théorie). On connaît les fois où ils se sont fait choper, mais pas encore les fois où ils ont réussi.

pencil grin
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

34293

Godzil (./34291) :
Apres sur un boot loader, c'est pas non plus si difficile de détecter une faille. Ce n'#est pas un algo de chiffrement avec des valeurs choisies avec soin...
Je pense que tu sous-estimes la complexité de ce qui est nécessaire pour initialiser un PC moderne.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

34294

Je pense que tu le sur-estime smile

Oui ce n'est pas juste initialiser 3 registres, mais la dimension complexité n'a rien a voir avec du chiffrement a courbe elliptiques avec des valeurs "sure" donné par une agence d’espionnage. Ou sur des générateurs de nombre aléatoires hardware supposé être sur, et pour les deux les chercheurs on trouvé des preuves que ces deux trucs était non sur. Donc du soft dont on a le code en clair ou il n'y a aucun nombre magiques sortis d'un chapeau, (et si bien sur quelqu'un se penche dessus, hein OpenSSL) les chances de failles volontaires sont très minimes.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34295

je trouve que cette comparaison est un peu naive.

34296

Si ca t'amuse de penser ca.

La complexité d'un OS est sur-estimé, idem pour un bootloader. Un navigateur web est au moins 10x si ce n'est 100x plus complexe qu'un noyal d'OS, alors comparé a un bootloader.

Mathematiquement le chiffrement et largement plus complexe qu'un bootloader, surtout quand on touche a des trucs comme les RNG, ou les dites courbes elliptiques.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34297

On te regarde nous faire une démo d'écriture de ce genre de code from scratch tongue

(et les failles logicielles peuvent être très subtiles)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

34298

et complexe appelle une définition précise.

34299

Je suis partiellement d'accord avec Godzil : un bootloader ou un micro-noyau, ça n'est pas forcément beaucoup de code, en tout cas bien moins qu'un navigateur ou une base de donnée et intrinsèquement ça n'est pas terriblement complexe. On a même des micro-noyaux comme SeL4 qui on été formellement prouvés.
Maintenant je suis aussi d'accord avec Zerosquare : même si le code n'est pas toujours intrinsèquement complexe, la vérification reste quelque-chose de difficile. Il y a de nombreuses subtilité de programmation, notamment avec le C et ses undefined behavior à tous les étages. Ça reste envisageable d'essayer de cacher une faille. Et puis au niveau des OS on a généralement plutôt des noyau massif qui même s'ils ne sont pas forcément complexe a comprendre, sont assez massif pour qu'ils soient dur à vérifier.
avatar

34300

Uther (./34299) :
On a même des micro-noyaux comme SeL4 qui on été formellement prouvés.
Prouver formellement un micro-noyau, c'est une chose. Je n'ai pas dit que c'était facile (loin de là), mais c'est essentiellement un problème de mathématiques.

Prouver formellement quelque chose comme un bootloader, qui est fortement lié à du hardware, hardware qui existe en plein de variations différentes, comporte des parties mal documentées ou pas documentées du tout, sans parler d'une flopée de bugs dont certains sont contournés par des patches opaques... c'est une autre paire de manches.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

34301

Ce n'est pas comme si ce "BIOS" supportait tant de hardware que ca..
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34302

Uther (./34299) :
On a même des micro-noyaux comme SeL4 qui on été formellement prouvés.
Mais que veut dire « formellement prouvé » ? Que le code correspond bien à la spec ? Mais dans ce cas, qui a prouvé que la spec. était correcte ?
Sans rigoler, c'est un vrai problème qui se pose assez régulièrement. Si on prend l'exemple (caricatural) de Windows Media Player du début des années 2000, les spec. étaient de télécharger automatiquement les codecs manquants quand ils étaient indiqués dans le fichier. L'idée était bonne vu qu'on avait souvent des problèmes de codecs inconnus. Le code de WMP aurait pu être prouvé comme répondant parfaitement à la spec (bon, en admettant qu'il n'y avait pas d'autres bugs). Pour autant, la seule utilisation réelle de cette idée était de fournir des fichiers vidéo illisibles mais sains, qui téléchargeaient directement le malware sur demande de l'utilisateur.
C'est caricatural, bien sûr, mais on a bien de vraies failles de sécurité introduites (intentionnellement) dans du bash en changeant un && par un &.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

34303

Bon je vais pas trop mettre ma main dans ce débat enflammé vu que ceux du boulot me suffisent et que débattre sur internet c'est pas mon délire, mais vu que la vérif logicielle ça a été ma formation je peux juste donner quelques pointeurs, notament sur ce projet qui a effectivement été "prouvé" au sens formel du terme

https://sel4.systems/Info/FAQ/proof.pml
Et le papier qui va avec (attention, c'est plus lourd que la mousse au chocolat de vos mamies) : https://www.sigops.org/s/conferences/sosp/2009/papers/klein-sosp09.pdf

Pour faire court une vérif formelle se base sur des suppositions car il n'est pas possible de tout prouver (sinon on irait jusqu'à l'atome et au delà, en mode Pascal helico), donc généralement on se dit qu'on fait confiance aux couches d'en dessous (et c'est là que parfois le bat blesse).

Voilà, ne débattez pas trop fort car vous avez tous raison sur différents points. Ce qu'il faut retenir c'est que la preuve logicielle est hardue (lorsqu'elle est possible !) et-ce quelque soit la complexité du projet.
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

34304

Tiens, une idée marrante, c’est de pourrir le code d’un compilateur ou d’une lib statique, comme ça les saloperies sont invisibles quand on audite le code. Reste juste le problème de l’implantation d’un tel programme ou archive, mais je pense que certains ont déjà joué à ça ^^

34305

C'est en effet un problème très connu. Ken Thompson a écrit un article référence de l'informatique sur le sujet en 1984 ou il expliquait qu'il avait introduit une backdoor dans un compilateur C invisible dans le code source car elle était introduite par le compilateur lui même et se réinsérait automatiquement si on ne recompilait pas le compilateur avec un autre compilateur.
avatar

34306

Zut, Uther l'a dit avant moi ^^
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

34307

Y’a une nouvelle d’anticipation sur ce sujet, je suis sur que zéro va la retrouver!
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34308

C'est pas Softwar de Thierry Breton ? Si oui pas de divulgâchis svp je dois bientôt le commencer grin
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

34309

Non c'etait en ligne
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34310

Tu parles probablement de ça : topics/164999-f-moved-mon-langage-est-mieux-que-le-tien/116#post-3461

Jonas : je ne dirai rien sur Softwar alors, que j'ai lu il y a fort longtemps smile
(mais le mécanisme utilisé pour l'intrigue n'est pas celui-là)
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

34311

Merci smile Oui c'est ca
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34312

Zerosquare (./34310) :
Tu parles probablement de ça : topics/164999-f-moved-mon-langage-est-mieux-que-le-tien/116#post-3461

Jonas : je ne dirai rien sur Softwar alors, que j'ai lu il y a fort longtemps smile
(mais le mécanisme utilisé pour l'intrigue n'est pas celui-là)

hehe merci pour le lien de la nouvelle en tout cas !
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

34313

34314

Meilleur mot helico
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

34315

Compte double
avatar
Highway Runners, mon jeu de racing à la Outrun qu'il est sorti le 14 décembre 2016 ! N'hésitez pas à me soutenir :)

https://itunes.apple.com/us/app/highway-runners/id964932741

34316

Godzil (./34274) :
#Popcorn#:

Cancelled, ce fut rapide grin

34317

Où on apprend que certains CPUs du 737 Max sont surchargés par le patch, bah en même temps on parle de 80286.

https://www.moonofalabama.org/2019/06/boeings-software-fix-for-the-737-max-problem-overwhelms-the-planes-computer.html#more

34318

34319

~1 semaine ½? On a pas la même notion de « rapide » 😅
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

34320

Ça fait peur quand même. Pas que ce soit des 286, mais que Boeing "bricole" de cette façon...
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo