[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: Linux et l'identite des ordis

[email protected] (Charles Levert) écrivait/wrote:

>Oui.  Quand ça se fait avec un Makefile, on peut l'inspecter avant de
>faire "make install".  Quand c'est un script, on peut le lire.  Quand
>c'est un RPM, on peut l'inspecter avec
>
>    rpm -qplv xxx.rpm
>    rpm -qp --scripts xxx.rpm

Si tu fais ça, tu es vraiment une perle rare, j'ai l'impression. 

>Quand le programme d'installation est un executable compilé,
>cependant, l'inspection est plus difficile.  On peut d'abord essayer
>de faire l'installation sans ce programme si les fichiers à installer
>sont dans un format lisible.  On peut toujours le faire passer à
>travers la commande strings, mais ça ne dévoile pas tout.  On peut
>tenter de le faire exécuter par un usager non privilégié puis déplacer
>ce qu'il a installé et le donner à root, mais ça n'accepte pas
>toujours de s'exécuter comme non root.  Si on l'exécute, on peut
>monitorer ce qu'il fait du point de vue appel à des fonctions de
>librairies et appels systèmes et on peut monitorer tout le trafic
>réseau qu'il génère.  On peut le faire d'abord sur une machine isolée
>ou filtrée du point de vue réseau.

Voilà qui pourrait faire l'objet d'une section d'un didacticiel
«hands-on», mais plus avancé que celui que je propose pour le moment.
Même moi qui mets un lock sur ce message pour qu'il ne disparaisse
pas, je ne vois pas comment je pourrai trouver cette information
lorsque je voudrai la consulter.

C'est ainsi que tout se répète advitam aeternam amen.

>Bien sûr, ce sont souvent les fabricants de logiciels propriétaires
>qui, quand ils daignent sortir une version pour Linux, nous font ce
>genre de coup.  Il reste toujours la liberté de ne pas les installer
>du tout...

Surtout quand tu veux faire une compétition contre Windows 2000 : )
Les failles de sécurité sont rarement dans Linux.

>> Même avec Linux, je me demande si le code de tous les programmes sont
>> minutieusement vérifiés à la loupe, à part par leurs auteurs.
>
>Très bonne observation et tu n'es pas le premier à la faire.  C'est
>une chose de dire que le code des logiciels libres peut être inspecté
>par un grand nombre de gens, c'est autre chose que de prouver qu'il
>l'est vraiment, et par des pairs (c'est-à-dire des gens qui sont en
>mesure de le comprendre)

Et ce n'est pas seulement de comprendre le code, mais de omprendre les
façons de le faire dérailler. C'est toute une science...

>La question a été soulevée, par des figures de proue comme Gene
>Spafford notamment (il me semble), et on peut espérer voir des projets
>dédiés à faire des audits sérieux de logiciels libres.  

et quand on en est rendu à posséder une telle science, je doute qu'on
soit particulièrement intéressé à réviser du code à coeur de jour, une
activité pas mal suante, surtout si le code est mal documenté.

>(En fait, de
>tels projets existent sûrement déjà.  Quelqu'un peut en dire
>plus là-dessus ?)

Je suis curieux moi aussi.

>> Enfin, ma première question reste entière: en quoi le # du CPU d'un
>> Pentium III identifie-t-il mieux un ordi que celui de mon vieux 486?
>
>À mon tour d'excuser mon ignorance... les vieux CPU x86 avaient-ils un
>numéro disponible à du code qui s'exécutait sur eux, pas juste gravé
>dessus ou inscrit sur la boîte ou un certificat qui les accompagnait ?

C'est le cas de mon AMD, en tout cas. Je peux te fournir un gif de
l'écran ou Acrobat me le donne si tu veux.

GP
--
La Masse Critique
http://pages.infinit.net/mcrit
Rencontrez Néfertiti, Einstein, Tocqueville, etc.