Le 09/05/2009 18:48, Cyril Chaboisseau a écrit :
ok mais le système de package te permet encore de choisir plein d'autres
programmes qui ont le mm niveau de support :
- Konqueror pour le mail mm si FF3 bénéficie d'une très grande
popularité
- Kmail, Thunderbird et plein d'autres pour le mail
dans le monde Windoze, en plus du fait que tu dois savoir qu'il existe
autre chose, tu dois déjà l'installer manuellement et souvent le mettre
à jour lorsque le logiciel n'intègre pas la verrue sensé pallier
l'aspect justement monoculture du "Windows update"
et je ne parle mm pas de trouver où se cache l'option permettant de
définir le navigateur ou le client mail comme logiciel par défaut sensé
s'ouvrir automatiquement lorsque l'utilisateur clique sur un URL ou un
lien mailto:
Sous linux c'est le même problème, la différence consiste juste à savoir
si on tape l'intitulé du logiciel dans synaptic ou dans google. J'ai
installé pas mal de linux chez des utilisateurs lambda, et ces derniers
ne connaissent absolument pas l'existence de Kmail, Konqueror voir même
de KDE car j'ai installé une Ubuntu.
Pour le choix du logiciel par défaut, tous les logiciels windows le
propose dès qu'on le lance de se substituer au truc microsoft. Donc cela
revient globalement au même.
ben je pense qu'il est moins vulnérable (AMHA) pour le premier point
évoqué du fait du nombre ainsi que pour beaucoup d'autres aspects que
ceux que j'ai mentionné :
- le fait que la plupart des distributions poussent à tourner sous un
utilisateur classique plutôt que le compte root ou Administrateur
comme on le voit souvent sous Windows
C'est une mode pas si ancienne que cela sur les distributions linux et
récente sous windows (c'est le principe de l'UAC de Windows qui reprend
exactement le concept de sudoer les taches d'administration).
- une approche sécurité dans le dév. des logiciels bcp plus ancrée dans
la culture Unix contrairement à Windows qui se veut conviviale et
simple (simpliste ?) à utiliser quitte à autoriser l'exécution d'une
macro attachée à un mail automatiquement
(on pourrait longuement débattre de ce point du fait que Microsoft a
fait des efforts depuis ces dernières années... reste que ça n'est pas
forcément le cas des logiciels tiers)
La remarque sur les logiciels tiers laisse à penser que dans le monde
unix on a un standard de qualité uniforme au niveau logiciel, ce qui est
très loin d'être le cas. Chez OpenBSD par exemple ils mettent à point
d'honneur à auditer le code des logiciels inclus dans la distribution ce
qui prouve la confiance relative qu'ils ont dans le code de leurs
copains développeurs unix (bon en même temps la parano c'est leur fond
de commerce). Comme dit chez Microsoft ils ont percutés au niveau de la
sécurité depuis une paire d'années après quelques plantades
retentissante genre le blaster.
- une approche très compartimentée (chroot/jail) des serveurs permettant
de limiter l'élévation de privilège ou la propagation d'un trou de
sécurité à l'ensemble du système
la virtualisation est aussi un bon moyen de compartimenter encore plus
un service à une machine virtuelle et à ce égard, la légèreté de
certains virtualisateur (OpenVZ), leur gratuité ainsi que la licence OS,
la facilité de l'administration de l'OS (et donc du sous-ensemble), sont
autant de facteurs qui favorisent sont déploiement et donc son
utilisation
La virtualisation n'est pas la panacée en matière de sécurité qu'on nous
a vendu non plus, il existe / a existé plusieurs failles majeures dans
les différents logiciels de virtualisation qui permettaient de prendre
le controle d'encore plus de machines d'un seul coup. Il faut donc se
méfier aussi des balles en argent de la sécurité. Et bon on peut aussi
virtualiser du serveur Windows.
- de nombreuses améliorations de la sécurité du système existent
(SeLinux, AppArmor, grsec) mm si ces dernières peinent à s'imposer
dans les distributions
Le problème de ce genre de mécanismes de sécurité c'est qu'ils sont
contraignants pour l'utilisateur, et que même quand ils préviennent
l'utilisateur d'un problème il faut encore que ce dernier sache de quoi
on lui parle. L'exemple le plus flagrant ce sont les firewalls, où la
majorité des gens veulent juste que la boite de dialogue disparaisse
sans cherche à comprendre ce qui leur arrive.
disons qu'il est potentiellement moins sujet à un virus sous forme
d'exécutable qui pour les auteurs d'un tel virus devrait faire le choix
d'alourdir la charge utile de toutes les architectures existantes ou
bien de faire le choix du pragmatisme en n'ayant qu'une version x86 qui
compose encore la majeure partie des systèmes installés
Sauf que pas mal de virus sous windows étaient de simple macro en VB, et
que l'intégration en standard de Mono ou autre python sur linux permet
d'envisager que c'est finalement pas tant un problème que cela.
je pense que l'architecture x86_64 gagne rapidement en popularité
principalement du fait que la RAM ne coûte pratiquement plus rien et que
l'on doit donc avoir une machine en 'amd64' pour exploiter efficacement
plus de 4Go
L'architecture x86_64 permet d'exécuter du code 32 bits sans problèmes.
à ce sujet le bit 'NX' de cette famille de processeurs offre encore une
protection supplémentaire à un type d'exploitation de sécurité très
courant : les débordements de piles (stack overflow)
Il est désactivé par défaut sur pas mal de bios.
oui, je l'ai justement dis dans mon précédent mail et celui-là : celà ne
concerne que les virus sous forme exécutable
et puis il faut différencier les vers (programme lancé à l'insu de
l'utilisateur) des virus qui a priori exploite un trou de sécurité du
système ou d'une application
Le ver de Morris exploité des failles systèmes, je pense que tu voulais
faire la différence entre cheveaux de troie et virus.
mais bon, c'est clair que pour contrer le lancement d'un programme
néfaste qui irait infecter ou détruire des documents dans le compte de
l'utilisateur qui l'a lancé, c'est plutôt une question de bonne pratique
visant à montrer qu'il ne faut pas lancer inconsidérément n'importe quel
programme que l'on reçois en attachement (y compris d'amis) ou encore
moins un lien se trouvant sur le bureau par ex. (discussion récente sur
les fichiers .desktop et la sécurité)
long débat !
La sécurité c'est effectivement un long débat, au départ je faisais
juste objections à quelques idées reçues en matière de sécurité à base
de raccourcis stupides (M$ savent pas protéger des ordis, linux c'est
kiewl). De la même manière sur Mac ils ont atteint la masse critique
nécessaire à intéresser le kevin de base, on y trouve aussi à présent
des programmes néfastes.
Stéphane
