Les trous de sécurité encadrés par les éditeurs
Sous l'égide de l'Organization for Internet Safety, plusieurs sociétés viennent de présenter un projet visant à limiter les conflits entre les découvreurs de failles et les vendeurs de logiciels.
Trente jours pour corriger une faille
Leur plan se présente sous la forme d'une succession d'étapes. Avec comme objectif un délai maximum de trente jours entre la découverte du problème et la mise à disposition d'un correctif.Première étape : le découvreur prévient l'éditeur du logiciel fautif. Celui-ci doit alors accuser réception de l'information sous sept jours. Si le découvreur ne reçoit pas cette confirmation, il doit envoyer un nouvel e-mail à l'éditeur, qui dispose alors de trois jours pour répondre. Les fournisseurs ont d'ailleurs l'obligation de mettre en ligne toutes les informations nécessaires pour être contactés aisément en cas de découverte d'un trou de sécurité.Une autre période de trente jours s'ouvrira une fois la faille corrigée. De quoi permettre au vendeur d'informer en priorité les personnes et organisations jouant un rôle important dans la sécurisation d'Internet.Un cas reste toutefois un peu flou : celui où découvreur et éditeur ne s'entendent pas pour résoudre le problème ensemble. Aucune règle n'a été fixée, si ce n'est que quitter ce processus de conciliation ne doit pas se faire par surprise.Organisme n'hébergeant, au moins actuellement, que des vendeurs de logiciels et aucune institution publique, l'OIS ne semble pas vouloir aller trop loin dans les contraintes. Des avis extérieurs pourraient toutefois le faire changer dopinion, puisque ce document est soumis à commentaire pendant 30 jours. Une version définitive sera présentée fin juillet, lors de la conférence relative à la sécurité Black Hat USA 2003.
-
BelokoC'était idiot de ma part ... tu as l'oeil du juste qui ne tremble pas quand on le fixe ;op lol
-
momo_
nan nan
securite sociale :))
pour ta question t'a la case a cocher sur la first windows de dxdiag tu le fais expres ou bien....
salut -
-
momo_
my name is momo et non poissonabril
ps beloko si deje tu mets un mail mets en au moins un valide faut avoir le courage de ses actes ou alors on mets rien
a bon entendeur .......
220.195.212.14 ca c de l'info(dynamique)lol
faut apprendre a etre courageux -
Beloko
J'avais une version beta de la 9 ... ceci dit par defaut la 9a que je viens d'installer est à OFF en executant dxdiag et il ne m'a pas demandé à l'installation si je voulais le WHQL On/Off ?!!
QUe dois je faire si je veux la mettre sur on ?? et quels sont ces informations qui ne seront pas envoyées au lab Microsoft ?? -
poissonabril
Vérification des signatures numériques WHQL Lorsque vous vérifiez que vos pilotes sont numériquement signés par Microsoft WHQL (Windows Hardware Quality Labs), l'outil de diagnostic DirectX peut tenter de se connecter à Internet afin de télécharger les nouveaux certificats WHQL. Pendant cette opération, aucune information n'est récupérée à partir de votre système. L'outil vous demandera l'autorisation de se connecter à Internet la première fois que vous l'exécuterez. Cette demande n'aura lieu qu'une fois. Pour modifier votre réponse, ouvrez la page Système et activez ou désactivez l'option Rechercher les signatures numériques WHQL.
Vous pouvez également effectuer cette modification en tapant ce qui suit dans une invite de commandes :
dxdiag [/whql:on] [/whql:off]
Dans cette commande, /whql:on permet à l'outil de diagnostic DirectX de rechercher les signatures numériques WHQL et /whql:off interdit à l'outil de diagnostic DirectX de rechercher les signatures numériques WHQL
directx9 sdk
ARRETE DE FUMER
le tiers n'est pas encore ne
ptit TDC.. -
Beloko
DirectX 9 ne verifie pas de signature, ni avant, ni après, que tu répondes oui/non ... t'as certainement du télécharger ta mise à jour sur un autre site et te faire baiser par un tiers :o)
Ca t'apprendras à mentir ... -
momo_
install de directx9
une windows s'ouvre demandant si on autorise le directx a verifier les signatures il est precise qu'au cours de cette operation aucune information ne sera preleve ect ect....je clique non j'installe et je reboot
mon firewall me demande si j'autorise directx ect ect. donc si j'ai bien tout compris crosoft te donne le choix oui/non mais si tu reponds non et que ta pas de pare feu boum il te nique. qui c'est qui dit qui vas donner les sources des windows??????? la on porrais se marrer....... -
Beloko
Ce n'est pas parceque tu ne ferme pas la porte à clé de chez toi que les gens vont y entrer ... à moins que tu te sois venté d'y avoir caché un trésor ;op
-
Traroth
Ca a l'apparence de la logique, mais ça n'est pas logique. On parle d'un systeme securisé, c'est à dire protegé contre les intrusions, les virus, etc. Quel rapport y a-til avec le principe d'ouverture du code source ? Une version de Linux, appellée BastilleLinux, est specialement conçue dans un but de securité. Les specifications sont connues de tous, mais cela ne le rend pas moins sur pour autant. Pour faire un parrallele, ça n'est pas parce que tout le monde sait comment un coffre fort est fabriqué que ça le rend plus fragile.
"La sécurité rassure les faibles et protège les riches" : C'est absurde. Ca n'est pas parce que je suis citoyen du monde et philanthrope que je veux qu'il y ait sans arret des gens qui se baladent dans ma maison.
Votre opinion