Parfois je me demande quand même s'il se rend compte de ce qu'il écrit. Par exemple quand il dit "qu'il est bien plus facile de trouver rapidement une vuln dans un code ouvert que dans un code auquel tu n'as pas accès." il ne fait que conforter mon point de vue sur le fait que l'open source serait plus facile à pirater. Aurais-je dit autre chose que des "conneries" ?
Bon, je ne suis pas intervenu dans ton troll LE mais je me dois d intervenir su celui ci . Oui il a surement été un peu agressif ( mais sans insultes ) et en gros il avait raison a 99% sur tout. La tu attaque l open source. Je suppose que tu n es QUE sysadmin et pas du tout codeur ? ( ici un sysadmin de 50 ans qui est aussi développeur C, et j en passe )
Oui avec l open source il est facile de decouvrir une faille ! DONC : * Il est tres probable que la faille sera decouverte RAPIDEMENT , car plein de gens qui sont aussi paranos que toi et moi, vont jeter un oeil au code, et les plus autiste d entre nous y passeront peut etre plusieurs jours ( ou nuits ), dans le cas d un truc que tu CROIE .devoir faire tourner en root. * Le mec qui voudrait mettre une backdoor dans un logiciel choisira la boite noire, car si il a un minimum d intelligence, il sait que sa backdoor sera vite decouverte et qu il perdra au minimum sa reputation, et au maximum . . . beaucoup plus.
DONC : * inserer volontairement une backdoor dans un logiciel FOSS est tellement risqué que c est rare.
AU PIRE : * parfois une faille ou une backdoor se retrouve dans un logiciel open source * elle est decouverte 1000 fois plus vite que dans une boite noire. * res peu de gens , voire aucun, se feront pirater par cette faille open source. * le probleme sera réglé tres rapidement pour les milliers d autres utilisateurs qui se seraient fait pirater si cette backdoor etait dans une boite noire.
EXCEPTION : des gens qui ont de très gros moyens, comme par exemple la N SA, sont capables de t' inventer des backdoors multi niveau très complexes et quasiment introuvables, car elles n' existent pas à première vue. depuis 30 ans je n ai vu personnellement passer qu une seule faille de ce genre : https://grsecurity.net/~spender/exploits/exploit2.txt et ca date ( en gros ) de l epoque du hard fork agressif de gcc 2.95.2 par redhat.
/* super fun 2.6.30+/RHEL5 2.6.18 local kernel exploit in /dev/net/tun A vulnerability which, when viewed at the source level, is unexploitable! But which, thanks to gcc optimizations, becomes exploitable :) Also, bypass of mmap_min_addr via SELinux vulnerability! (where having SELinux enabled actually increases your risk against a large class of kernel vulnerabilities) */