• [^] # Re: "security through obscurity" quand tu nous tiens

    Posté par . En réponse à la dépêche Le code source de Cisco IOS volé ?. Évalué à 6.

    > Ca fait des mois que le code de Windows est dans la nature, a part le bug d'IE qui avait d'ailleurs deja ete corrige, personne n'a rien trouve

    Le code source n'est pas complet. Il ne touche pas de composants critiques de l'OS. C'est MS lui même qui le disait à l'époque.

    La faille corrigée sans rien dire à personne, c'est peut être pas la meilleure référence à sortir dans le cadre d'une discussion sur closed vs open. Du secure computing en patchant à la va vite, sans rien dire à personne, histoire de pas trop se faire charrier...

    Vais en rajouter un peu tiens :
    Pour un code source qui est sensé avoir été revu, par des dév ayant eu des formations sécu et tout, comme le disait les annonces bien marketing de l'époque. Le résultat est pas terrible quand on regarde les derniers mois. Blaster, sasser, etc.

    Les OS sécurisés à grand renfort d'annonce alors que la protection anti stack overflow de win2k3 se contourne en 30 sec, ça fait quand même bien rire :) un brave pop,pop,ret et hop, fini la protection. Et ho, ironie suprème, cette séquence d'opcodes qui va bien, on la trouve, entre autre, dans l'exception handler associé à la détection d'une modification du "canari" .

    Donc bon, pas de quoi se moquer de cisco ou tenter de faire une quelconque morale :p