vendredi 6 mars 2009
L'email à 1000 dollars...
Par Sid,
vendredi 6 mars 2009 à 08:50 :: (In)Sécurité
Lu 5019 fois ::
English
l y a pleins de manières de justifier l'emploi d'un OS ou d'un logiciel plutôt qu'un autre quand on en vient aux considérations de sécurité. Le problème, c'est qu'il y en a plus de mauvaises raisons que de bonnes. Le décompte du nombre de failles affectant tel ou tel produit est un exemple de métrique clairement contestable. Certains essayent de lui rendre un peu de sens en la pondérant par la criticité, sans trop de succès. L'approche adoptée dans l'étude qui vient d'être publié par Secunia à propos de nos chers navigateurs est plus intéressante en ce qu'elle considère le temps de patch. Le problème de ces arguments, c'est qu'ils sont incomplets et demandent un minimum de compréhension de la part de celui qui les manipule.
Et puis à côté de ça, on a des arguments carrément vides de sens. Comme par exemple celui qui voudrait que parce qu'il est libre, un logiciel est forcément mieux écrit que son pendant propriétaire. Mais un de ceux que je préfère dans cette catégorie est la "djbdns security guarantee" que certains avancent pour justifier la sécurité de ce serveur DNS. Non pas que je considère ce logiciel comme mauvais de ce point de vue, mais que de toute les raisons de l'utiliser, cette dernière est probablement la plus mauvaise. Et bien le truc sympa, c'est qu'on devrait l'entendre un peu moins, maintenant qu'elle vient d'être mise à l'épreuve avec succès...
