[gull] papiers prog.
dc
dc at mjt.ch
Mon Jun 2 09:07:55 CEST 2014
On 01/06/2014 23:59, Felipe Gonzalez wrote:
> oh yes needed un chmod 644.
Merci.
> mais je te prends pas à parti,
J'ai bien compris que ce n'etait pas personnel.
> j'entends de mon côté c'est juste
> que si je trouve un package software de GUI au dessus de netfilter, pf
> ou ipfw, si c'est codé en PHP, perl, ruby, python, je "dismiss" le
> package en question, d'office.
Pourquoi les GUI exclusivement ? Il peut aussi y avoir des trous de
securite dans des modules n'ayant rien a voir avec un GUI... Pourquoi
sous-entendre que tout ce qui est ecrit dans ces langages est forcement
sujet a des problemes de securite ? Pourquoi considerer que C est
forcement exempt de critique ? Il est presque plus facile de se balader
dans le stack d'un module C et de "lire" son contenu qu'en Python... Je
veux bien que l'on soit tres stricte avec la securite, mais je trouve
cette approche un peu trop radicale et surtout techniquement infondee.
J'ai ecrit plusieurs centaines de millier de lignes de code en C, mais
je ne considere pas pour autant que ce langage le mette a l'abri des
problemes de securite. OpenSSL n'est-il pas ecrit en C ? Et pourtant il
y a eu un gros probleme de securite recemment avec cette librairie ! Et
ce n'etait pas un probleme de GUI. Alors...
As-tu une version de phpmyadmin ecrit avec fastcgi en C ? Coment gerer
nos multiples serveurs et nos centaines de tables ? Si je ne mets pas de
mot-de-passe sur un serveur MySQL, ce n'est pourtant pas un probleme lie
a PHP... Ce qui fait que je continue a dire que la securite n'est pas
essentiellement dependante d'un langage de programmation.
> point de vue personnel.
Oui, il est toujours interessant d'echanger des opinions. Une bonne
connaissance (et pratique intense) des differents langage permet de
faire la part des choses et de mieux comprendre les vraies limites
techniques.
> à l'époque de "smashing the stack" et "return by libc" on disait
> qu'un bon programmeur C commettait un trou de sécurité tous les 100
> SLOC environ.
J'ai sans doute largement depasse le stade du prix Nobel :-)
dc
More information about the gull
mailing list