Personnellement, je suis à la merci de fondation Mozilla, et j'émets un doute lorsque tu prétends être capable de patcher les failles de Firefox ;-) C'est là toute la différence entre la théorie et la pratique.
En general je «triche». Je prends le SRPM, ajoute mon patch ou change l'archive contenant les sources, puis reconstruit le rpm.
Bien evidement ce n'est pas le genre de trucs tres beau ou fait pour durer, mais c'est rapide, pratique et ca marche.
Cela a deja ete teste avec theora, un module noyau...
Mais le plus important n'est pas que ce soit facile ou pas, mais que ce soit possible.
A ce moment la, a quoi bon le logiciel libre vu que la plupart des utilisateurs ne savent pas coder et ne toucheront jamais au code ?
Ce n'est pas parce que cela ne t'interesse pas que ca n'interesse pas les autres.
Dans le cas de firefox, meme si tu toi ou l'utilisateur lambda ne sauras pas le patcher, les gens s'occupant de ta distribution favorite pourront toujours l'appliquer pour toi.
Il faut être couillu pour oser poser ce genre de question alors qu'on parle de trou de sécurité ;)
Ceci dit, le bug tracker des failles chez Mozilla n'est pas dispo publiquement non plus.
Ce n'est pas parce qu'un ticket lie a une faille de securite dans Mozilla sera confidentiel le temps de preparer un patch que ce ticket restera confidentiel a jamais.
- Please try not to keep bugs in the security-sensitive category for an unreasonably long amount of time.
- Please try to be understanding and accommodating if a Mozilla distributor has a legitimate need to keep a bug in the security-sensitive category for some reasonable additional time period, e.g., to get a new release distributed to users. (Regarding this point, if all Mozilla distributors have a representative on the security bug group, then even if a bug remains in the security-sensitive category all affected distributors can still be informed and take appropriate action.)
[^] # Re: ... lecture
Posté par Paf . En réponse au journal Vulnérabilité critique dans Firefox 3.5. Évalué à 7.
En general je «triche». Je prends le SRPM, ajoute mon patch ou change l'archive contenant les sources, puis reconstruit le rpm.
Bien evidement ce n'est pas le genre de trucs tres beau ou fait pour durer, mais c'est rapide, pratique et ca marche.
Cela a deja ete teste avec theora, un module noyau...
Mais le plus important n'est pas que ce soit facile ou pas, mais que ce soit possible.
A ce moment la, a quoi bon le logiciel libre vu que la plupart des utilisateurs ne savent pas coder et ne toucheront jamais au code ?
Ce n'est pas parce que cela ne t'interesse pas que ca n'interesse pas les autres.
Dans le cas de firefox, meme si tu toi ou l'utilisateur lambda ne sauras pas le patcher, les gens s'occupant de ta distribution favorite pourront toujours l'appliquer pour toi.
Il faut être couillu pour oser poser ce genre de question alors qu'on parle de trou de sécurité ;)
Ceci dit, le bug tracker des failles chez Mozilla n'est pas dispo publiquement non plus.
Ce n'est pas parce qu'un ticket lie a une faille de securite dans Mozilla sera confidentiel le temps de preparer un patch que ce ticket restera confidentiel a jamais.
D'apres http://www.mozilla.org/projects/security/security-bugs-polic(...) :
- Please try not to keep bugs in the security-sensitive category for an unreasonably long amount of time.
- Please try to be understanding and accommodating if a Mozilla distributor has a legitimate need to keep a bug in the security-sensitive category for some reasonable additional time period, e.g., to get a new release distributed to users. (Regarding this point, if all Mozilla distributors have a representative on the security bug group, then even if a bug remains in the security-sensitive category all affected distributors can still be informed and take appropriate action.)