Re: Protéger un script
Le 14545ième jour après Epoch,
Vera Mickael écrivait:
>> De manière plus générale, le fantasme de la sécurité par l'obscurité
>> reste un fantasme, et n'est pas la réalité. Si Merwin arrive à le
>> vendre à ses clients, c'est qu'il est un bon commercial, pas
>> forcément un bon
>> technicien. http://en.wikipedia.org/wiki/Security_through_obscurity
>
> Je ne vois pas le rapport entre le besoin initial et les divagations
> de Basile ?
Il est trivial pourtant: "cacher" un shell est relativement illusoire,
car il sera toujours possible de voir quelles sont les commandes que ce
shell lance (strace), et éventuellement en déduire ensuite les grandes
lignes de ce que ça fait.
> L'objet de la question initiale est de protéger la source d'un travail
> facturé à un client. Il est légitime qu'un client ne souhaite pas
> qu'un travail qu'il a financé profite aussi à ses concurrents.
Mais il est pourtant possible que le client paye pour un logiciel, sans
que ce logiciel soit forcément privateur. C'est exactement ce que j'ai
pû faire durant ces 2 dernières années. Le logiciel est libre,
accessible, et pourtant en grande partie financé par un client.
Dans son esprit (le client), il a payé pour le logiciel, mais surtout
pour l'expérience acquise, la possibilité d'avoir un support pointu, et
la pérennité du logiciel comparé à la pérennité de la société qui l'a
développé.
> Quel est le rapport avec la sécurité par l'obscurcissement qui vise à
> protéger un système des attaques? Je ne vois pas?
Pourtant c'est la même chose. Sécuriser des choses en les cachant est un
mauvais moyen en général. On ne "protège" pas ssh en le faisant écouter
sur un autre port. On ne fait qu'éventuellement augmenter le temps que
va mettre l'attaquant à trouver le bon port.
Reply to: