• [^] # Re: Une limite de l'OpenSource ?

    Posté par . En réponse à la dépêche Une limite de l'OpenSource ?. Évalué à 4.

    Note sur les MD5 ...

    Dans le bon vieux temps ou je passait le plus clair de mes récrés sur ma HP48 ... j'utilisais le MetaKernel, un programme tres complet , mais quelque peu bridé dans sa version demo. Il y avait une specificite sur les librairies hp48 : elle se finissent par un CRC... et les mecs du MK vérifiaient si cette valeur etait bien celle prévue ... pour ce faire, ils avaient reussi à stoquer la valeur du CRC à l'interieur même du code de la librarie!

    Il m'a suffit de scanner toute la librarie en cherchant la valeur magique; il n'y avait qu'une seul occurence ... j'ai donc modifie l'instruction assembleur equivalente a
    if ( CRC == 12345 ) ... ELSE ERROR
    en
    if ( CRC != 12345 ) ... ELSE ERROR

    le fait meme de modifier la lib fesait que le CRC globale etait différent, donc la condition etait quand même vérifiée : le simple fait de changer une instruction et de recalculer le vrai nouveau CRC de la lib laissait croire à l OS que la lib était non-corrompue ( CRC finale bon ), et le MK croyait qu'il etait intègre ... c'était évidement la porte ouverte à plein de choses plus droles ... comme la supression de toutes les autres limitations de la ddémo ...

    ca m'a pris 4h ... c'etait la premiere fois que je touchais à un binaire ...

    alors oui je confirme que si on a les sources d'un programme qui délègue la sécurite au client, ca doit etre super simple de dire au serveur : " oui t inquiete , je suis intègre ; la preuve voila mon MD5 XXXXX ... tu voit c'est le meme que tout le monde ;) "

    En ce sens je suis oblige de considerer que dans un monde ou l'argent existe, et où les travailleurs veulent être payés de leur labeur, le TOUT-OPEN-SOURCE ne me parait pas viable ! ( merci Aldouse Huxley ...)