A ce niveau ce ne sont plus des choix douteux mais carrément des fautes professionnelles.
C’est aussi ce que j’essaie de dire à mes collègues qui foutent tout sur Dropbox et Google Drive, mais quand ça veut pas rentrer…
Je suis sûr que tu as des :
"Qu’est-ce que tu en a foutre que Microsoft et Google regardent tes fichiers, tu as qq chose à cacher ?"
Je précise que nous travaillons avec des clients dans toute l’Europe, et nous devons donc écrire toutes les docs en anglais, c’est plus simple pour Google vu que translate est pas très efficace avec le français 
La communauté de contributeurs ? À comparer avec les ingénieurs Microsoft qui nous balancent du code fermé ?[/quote]
Il est vrai qu’OpenSSL nous a prouvé que libre = bien conçu car tout le monde lit le code…
Le fait même que tu sois là pour le dire prouve l’utilité du libre 
(tu n’aurais jamais pu critiquer openSSL s’il n’avait pas été libre)
ps oubidoub si tu n’utilises pas openssl tu utilises quoi?
La communauté de contributeurs ? À comparer avec les ingénieurs Microsoft qui nous balancent du code fermé ?[/quote]
Il est vrai qu’OpenSSL nous a prouvé que libre = bien conçu car tout le monde lit le code…[/quote]
Texte:
gzm4v8LBHElYWWYUnTlymXNybj1sGA6OQGUApzptLMFAGsnm6piwe4NdTAsKfVkcC2xkEjvXHlEL
rtdsVWTIt8vqaf2XkPeRpVxd4fMykV8dE+Ap54HvmUJjSzm5rxZpjsFJ+aEhEkcMb1xDvXnj/NnR
dwLnC2KBhSTCs72bmYQ=
Clef:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDGz/OwXhStGQjczEQaRoTf3A0Y
HJ2/DcBtDFiGTFJIpAy4vCPMVnhtBDx4qruuOc+NwgKfKloD737Ao3Q+4jStJ5wA
ocYVEm7YNzoozZXrPlcXj67WIe7e0mqRQBahLSlu2wOLXqfCZ9J/L+1QzrpV431n
Sxapyg0TpiNItFpPowIDAQAB
-----END PUBLIC KEY-----
Petite clef (1024). Vas-y!
La communauté de contributeurs ? À comparer avec les ingénieurs Microsoft qui nous balancent du code fermé ?[/quote]
Il est vrai qu’OpenSSL nous a prouvé que libre = bien conçu car tout le monde lit le code…[/quote]
Texte:
gzm4v8LBHElYWWYUnTlymXNybj1sGA6OQGUApzptLMFAGsnm6piwe4NdTAsKfVkcC2xkEjvXHlEL
rtdsVWTIt8vqaf2XkPeRpVxd4fMykV8dE+Ap54HvmUJjSzm5rxZpjsFJ+aEhEkcMb1xDvXnj/NnR
dwLnC2KBhSTCs72bmYQ=
Clef:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDGz/OwXhStGQjczEQaRoTf3A0Y
HJ2/DcBtDFiGTFJIpAy4vCPMVnhtBDx4qruuOc+NwgKfKloD737Ao3Q+4jStJ5wA
ocYVEm7YNzoozZXrPlcXj67WIe7e0mqRQBahLSlu2wOLXqfCZ9J/L+1QzrpV431n
Sxapyg0TpiNItFpPowIDAQAB
-----END PUBLIC KEY-----
Petite clef (1024). Vas-y![/quote]
Que veux-tu que j’en fasse ?
OpenSSL car c’est le choix de ma distribution.
Mon point était de dire qu’il ne faut pas suivre aveuglément un produit parce qu’il est libre. D’ailleurs OpenSSL c’est l’argument que les windowsiens te balanceront dans la tronche rapidement… et ils ont raison. La licence d’un produit n’influe pas sur sa qualité.
OpenSSL car c’est le choix de ma distribution.
Mon point était de dire qu’il ne faut pas suivre aveuglément un produit parce qu’il est libre. D’ailleurs OpenSSL c’est l’argument que les windowsiens te balanceront dans la tronche rapidement… et ils ont raison. La licence d’un produit n’influe pas sur sa qualité.[/quote]
Il y a eu une faille sérieuse à openssl, et du coup l’ensemble du code est passé au peigne fin. Résultat des failles apparaissent. Cela n’est pas un signe de fragilité ou de moins bonne qualité. Une code jamais inspecté ne se verra jamais signalé de faille. Il suffit de regarder ce que cela peut donner en regardant l’avalanche de patchs de sécurité affectant flash depuis qu’adobe essaye de redonner un peu de crédibilité à son produit.
Les failles citées ici sont potentielles, quand on regarde les CVE, aucun n’a encore été concrétisée ce qui est le signe d’un épuchage du code.
Cette phrase n’engage que toi, et j’espère que malgré le ton péremptoire on a toujours le droit de ne pas être d’accord
D’abord parce que je ne pense pas que de telles mesures soient disponibles. Ensuite, parce qu’intuitivement, beaucoup disent le contraire de toi. Un code ouvert est davantage lu, et un code lu est plus souvent corrigé. Alors que quand tu as filé ton projet à un mec/une équipe qui te rend un binaire verrouillé, c’est sûr qu’à part lui/eux/(elles ?), personne n’ira voir.
Tu nous balances OpenSSL, je te renvoie la faille qu’il y avait dans un système embarqué par Toyota (safetyresearch.net/blog/arti … 80%9D-code) qui avait été envoyé à la NASA pour correction, la NASA avait formulé des corrections, et le mec avait pushé le code “corrigé” dans la bagnole directement. Résultat : du code buggé fermé et propriétaire dans ta caisse. Youpi.
Cette phrase n’engage que toi, et j’espère que malgré le ton péremptoire on a toujours le droit de ne pas être d’accord
D’abord parce que je ne pense pas que de telles mesures soient disponibles. Ensuite, parce qu’intuitivement, beaucoup disent le contraire de toi. Un code ouvert est davantage lu, et un code lu est plus souvent corrigé. Alors que quand tu as filé ton projet à un mec/une équipe qui te rend un binaire verrouillé, c’est sûr qu’à part lui/eux/(elles ?), personne n’ira voir.
Tu nous balances OpenSSL, je te renvoie la faille qu’il y avait dans un système embarqué par Toyota (safetyresearch.net/blog/arti … 80%9D-code) qui avait été envoyé à la NASA pour correction, la NASA avait formulé des corrections, et le mec avait pushé le code “corrigé” dans la bagnole directement. Résultat : du code buggé fermé et propriétaire dans ta caisse. Youpi.[/quote]
Je pense juste que c’est naïf de considérer que libre = sécurisé.
Perso je ne fais pas moins confiance à un serveur Microsoft qu’à un serveur Linux, du moment qu’ils sont correctement configurés et mis à jour.
la je suis tout à fait d’accord avec toi 
[quote]
Je pense juste que c’est naïf de considérer que libre = sécurisé.
Perso je ne fais pas moins confiance à un serveur Microsoft qu’à un serveur Linux, du moment qu’ils sont correctement configurés et mis à jour.[/quote]
Un logiciel libre ou au moins open source donne un code qui a été soumis à beaucoup de regard dont le seul but est de vérifier le code. Un code fermé est soumis au regard des employés, regard considéré comme guère rentable compte tenu qu’une partie de la sécurité consiste à considérer que le code est dissimulé. En ce sens je fais moins confiance à un code privé non publié: moins de regards, moins de volonté de vérifier le code (les patchs sont proposés à la suite du signalement des soucis de la part des clients).
Par ailleurs, il y a des exemples de fonctionnalités cachées installés dans des logiciels privés qui se sont révélées désastreuses pour la sécurité (typiquement port réservé à la maintenance), on peut donner comme exemple, windows, certains routeurs, mais aussi la borne airpaly, etc.