• # Rappels aux développeurs...

    Posté par . En réponse à la dépêche Exec Shield: protection contre les débordements de tampons. Évalué à 10.

    Toutes ces avancées (pour OpenBSD, comme pour Linux et les Un*x en général) dans le domaine de la sécurisation des applications sont effectivement très intéressantes, mais elles ne constituent qu'une sécurité supplémentaire.

    Il est, à mon sens, plus judicieux de programmer avec précaution toutes les parties "interface" des applications afin d'éviter que les données arrivant de l'extérieur "polluent" les applications, plutôt que de se dire que le système va passer surveiller l'exécution.

    Les techniques de programmation permettant d'éviter ça sont connues.
    (voir, par exemple là : http://www.dwheeler.com/secure-programs/(...) même si la news passée sur dlfp n'avait guère eu de succès http://linuxfr.org/2002/10/12/9949.html(...) )

    Je reste persuadé qu'un programme qui contrôle activement les données qui lui sont passées "de l'extérieur" sera toujours plus sûr qu'une passoire tournant dans un environnement aussi hostile aux intrus soit-il....

    Un grand pas vers le "zéro intrusion" reste la combinaison des deux, c'est à dire, de bien (pour tout ce que cela peut signifier ;o) programmer et de faire tourner ses programmes sensibles dans un environnement surveillé (et hostiles aux hackers et pirates) comme ce patch, l'utilisation de chroot et de comptes d'exécution différents de "root".

    Dans tous les cas, c'est du très bon boulot, une fois de plus, de la part des développeurs de Linux (on a le droit de dire juste "Linux", vu que, là, c'est le noyau ;o) et plus généralement de tous ceux qui nous permettent de travailler dans de meilleures conditions.