[gull] papiers prog.

dc dc at mjt.ch
Mon Jun 2 09:07:55 CEST 2014 

On 01/06/2014 23:59, Felipe Gonzalez wrote:
> oh yes needed un chmod 644.

Merci.

> mais je te prends pas à parti,

J'ai bien compris que ce n'etait pas personnel.

> j'entends de mon côté c'est juste
> que si je trouve un package software de GUI au dessus de netfilter, pf
> ou ipfw, si c'est codé en PHP, perl, ruby, python, je "dismiss" le
> package en question, d'office.

Pourquoi les GUI exclusivement ? Il peut aussi y avoir des trous de 
securite dans des modules n'ayant rien a voir avec un GUI... Pourquoi 
sous-entendre que tout ce qui est ecrit dans ces langages est forcement 
sujet a des problemes de securite ? Pourquoi considerer que C est 
forcement exempt de critique ? Il est presque plus facile de se balader 
dans le stack d'un module C et de "lire" son contenu qu'en Python... Je 
veux bien que l'on soit tres stricte avec la securite, mais je trouve 
cette approche un peu trop radicale et surtout techniquement infondee. 
J'ai ecrit plusieurs centaines de millier de lignes de code en C, mais 
je ne considere pas pour autant que ce langage le mette a l'abri des 
problemes de securite. OpenSSL n'est-il pas ecrit en C ? Et pourtant il 
y a eu un gros probleme de securite recemment avec cette librairie ! Et 
ce n'etait pas un probleme de GUI. Alors...

As-tu une version de phpmyadmin ecrit avec fastcgi en C ? Coment gerer 
nos multiples serveurs et nos centaines de tables ? Si je ne mets pas de 
mot-de-passe sur un serveur MySQL, ce n'est pourtant pas un probleme lie 
a PHP... Ce qui fait que je continue a dire que la securite n'est pas 
essentiellement dependante d'un langage de programmation.

> point de vue personnel.

Oui, il est toujours interessant d'echanger des opinions. Une bonne 
connaissance (et pratique intense) des differents langage permet de 
faire la part des choses et de mieux comprendre les vraies limites 
techniques.

> à l'époque de "smashing the stack" et "return by libc" on disait
> qu'un bon programmeur C commettait un trou de sécurité tous les 100
> SLOC environ.

J'ai sans doute largement depasse le stade du prix Nobel :-)

dc

More information about the gull mailing list