• [^] # Re: Confiance

    Posté par . En réponse au journal Xz (liblzma) compromis. Évalué à 3.

    Je ne suis pas d'accord, parce que justement AD est un élément phare, il y a des gens payés pour le maintenir, et, j'ose espérer, une infrastructure de test.

    Certes, il y a un côté historique... sauf que non, mauvaise excuse, MS était déjà riche lors de la création: «Active Directory fut présenté pour la première fois en 1996, mais sa première utilisation remonte à Windows 2000 Server Édition en 1999. » source: https://fr.wikipedia.org/wiki/Active_Directory

    AD est composé de kerberos de mémoire, donc oui ils sont au courant que la sécu c'est important.
    Vu les moyens a dispo, non, pas trop d'excuse.

    Mais bon, on peut parler d'apple et du goto-fail... cette faille est la plus honteuse dont j'aie entendu parler, et pourtant, je ne crois pas que la confiance envers apple ait été rompue? (alors que franchement! Les compilos détectent ça depuis perpette, et le très peu que je connais de MISRA spécifie quand même bien que, bon, on va éviter hein, les "if" sans blocs... pour cette raison.)

    Bref, pour moi, ce n'est pas lié a la licence, tous ces problèmes. Et, encore une fois, il semble qu'ici la faille ne soit jamais entrée dans le repo git, donc la faille n'est pas technique, mais humaine, et du côté des distros qui ont accepté une tarball, pas du côté de l'auteur.
    Alors que les failles de sécu d'AD ou du TLS d'apple, c'est bien rentré dans leurs repos, à priori.