• [^] # Re: c'est qd même un faiceau de preuves convergeant

    Posté par . En réponse à la dépêche faille dans apache. Évalué à 9.

    Bien sur il y a des bugs et il y (ou il y aura) des trous de sécurité trouvés dans ces serveurs, mais aucun ne permet de récupérer un shell en root.

    Euh... tu me trouves un admin qui fait tourner Apache en root ? C'est vraiment pas prudent du tout ça...

    Et avec un OS bien conçu (suivez mon regard) même un sshd, un telnetd ou autre ftpd n'a pas besoin des droits root (ni même d'aucun droit). La sécurité c'est d'abord dans le design général du système qu'elle se fait, pas dans le choix du langage.

    Pour les machines virtuelles java, la spec impose une phase de vérification des bytecodes qui vérifie que le compilo n'a pas fait n'importe quoi (hauteur de pile en entrée et à la sortie des méthodes, et pas mal d'autres choses).

    Oui, je sais, mais ça ça sert plus pour les applets ou autre (quand on exécute sur sa machine du code provenant de l'extérieur) pas pour ce qui est serveur (quand tu exécutes du code en qui tu as confiance).