On 02/03/2021 16:48, darksponge wrote:
https://madaidans-insecurities.github.io/linux.html
<https://madaidans-insecurities.github.io/linux.html>
Je suis tombé sur cet article, mais n'ayant pas les compétences pour
pouvoir juger de son objectivité, je me suis dit qu'il pourrait être
intéressant d'en discuter ici.
Wow, wow, wow...
Commençons par quelque chose de simple, comme un petit whois sur
github.io...
Registrant Organization: GitHub, Inc.
Registrant State/Province: CA
Registrant Country: US
GitHub ayant été racheté par Microsoft, je reste méfiant :-)
L'article, s'il soulève des points intéressants et connus, me semble
très largement biaisé sur pratiquement tous les points. Les questions de
sécurité mentionnées dans l'article sont connues et pas du tout
ignorées, contrairement à ce que laisse penser son hauteur.
Ensuite, il est vrai que le langage C, et C++ dans une moindre mesure,
permet d'écrire du code non sûre. Cela ne veut pas dire que tous les
programmeurs C vont systématiquement écrire du code non-sûre. Cet espèce
de syllogisme que l'auteur essaie de nous faire gober est
particulièrement ridicule. Il existe des librairie de gestion de la
mémoire ainsi que d'autres outils qui limitent drastiquement les
potentiels problèmes évoqués. Par exemple, la non initialisation de la
zone data est quelque chose de connu depuis les années 80; et il existe
plein de techniques pour y remédier. J'aurais aussi tendance à dire que
c'est de la responsabilité du programmeur de faire attention à cet
aspect des variables non initialisées. Avec GCC, la zone .bss est
initialisée avec des zéros, mais pas la zone data car on ne connaît pas
son usage au début du programme (malloc() !). Aussi, il y a des zones
que l'on ne veut pas voir initialisées comme les zones communes (shared
memory, memory mapped). Cette affirmation dans l'article est parcellaire
et se garde bien de parler de l'ensemble pour mieux proposer une
conclusion péremptoire dans le but de dénigrer tout ce qui n'est pas
Windows... Intéressant et vraiment pathétique.
Ensuite, l'auteur dit que le kernel Linux est écrit dans un langage
considéré comme dangereux. Je rappelle à cet amoureux transis de
Microsoft que le code de Windows est écrit dans le même langage... même
s'il y a quelques lignes de C++ (mais là aussi ce langage est considéré
comme le diable par l'auteur).
Bref... très franchement, cet article est plutôt un ramassis de
conneries partisanes et absolument pas une approche exhaustive et
scientifique des différents OS du marché.
Je suis "Operations & Incident Manager" pour une société multi-nationale
et celle-ci utilise massivement Windows et les outils Microsoft. Je me
garderai bien de me lancer dans une comparaison ou tout ce qui ne va pas
avec Windows. Chaque OS a ses problèmes et solutions. Toutefois, je suis
exposés aux rapports de sociétés comme FireEye, Mandiant, Crowdstrike,
etc. et je suis quotidiennement au courant de tous les problèmes
relatifs aux menaces dans le monde. Pas besoin de faire de savantes
statistiques pour constater qu'un seul OS monopolise 99% des problèmes
et que les portes d'entrées et trous de sécurités y sont légions. De
gros efforts sont accomplis par Microsoft pour améliorer la sécurité de
Windows, mais le chemin est encore long. C'est la raison pour laquelle
cet article me fait doucement sourire...
Je ne sais pas ce qui motive l'auteur en diffusant un article aussi mal
ficelé et biaisé, mais je lui suggère de se renseigner sérieusement au
sujet de Linux et de regarder la réalité en-face. Ce n'est pas un hasard
si les sites de logiciels anti-virus pour Windows tournent tous sous
Linux... "Faites ce que je dis pas ce que je fais", sans doute un
problème de confiance... Ah, au fait, tous les anti-virus sont écrits en
C; le pauvre gars à encore du boulot devant lui.
dc
_______________________________________________
gull mailing list
gull@forum.linux-gull.ch
https://forum.linux-gull.ch/mailman/listinfo/gull
