Re: Protéger un script
Kevin Hinault a écrit :
> Mode vendredi ON.
et même Vendredi matin
>
> Le 28 octobre 2009 12:18, Vera Mickael <vera.mickael@free.fr> a écrit :
>>> De manière plus générale, le fantasme de la sécurité par l'obscurité reste un
>>> fantasme, et n'est pas la réalité. Si Merwin arrive à le vendre à ses clients,
>>> c'est qu'il est un bon commercial, pas forcément un bon technicien.
>>> http://en.wikipedia.org/wiki/Security_through_obscurity
>> Je ne vois pas le rapport entre le besoin initial et les divagations de Basile ?
>>
>> L'objet de la question initiale est de protéger la source d'un travail facturé à
>> un client. Il est légitime qu'un client ne souhaite pas qu'un travail qu'il
>> a financé profite aussi à ses concurrents.
houlà, ça c'est un modèle qui date du moyen âge (pgm s/s ZX-81 peut-être)
le modèle actuel est que le client paye le dev, puis que ledit dev est
en Gal reversé en tant que contribution à la communauté; ce qui permet,
entre autres avantages, débugging/amélioration/etc par la communauté
(la programmation, c'est comme le fric, la bagnole et le reste: il-y-en
a toujours un qui en a plus que toi...)
>
> Je ne suis pas d'accord avec cette affirmation qui est exactement
> celles que les éditeurs de logiciels privateurs avancent pour
> justifier la privation de liberté.
> La création d'une source n'a pas de cout direct, c'est plutôt un
> investissement : celui du temps passé à la création du logiciel. Et
> contrairement à ce que notre société nous dicte, le temps ce n'est pas
> de l'argent. Dans le monde du logiciel libre, le développeur fait le
> plus souvent don de son temps à la communauté en désirant juste que
> l'on garde la paternité de son travail. L'investissement est le pari
> que le client reviendra vers lui.
je plussois
> Je ne dit pas que logiciel libre doit être gratuit mais que son cout
> de reproduction est nul et donc qu'il sort de l'économie de la rareté
> imposé par notre monde physique pour entrer dans l'économie de
> l'abondance.
c'est ausi en Gal un juste retour des choses: on "prend" à la communauté,
et on lui "rend" par la mise à disposition d'un travail (correctement exécuté,
s'entend.)
> S'il désire vendre sa création, rien ne l'en empêche. S'il désire le
> protéger, les licences existent.
et il-y-en a pour tous les goûts des licenses; .
> Si n'importe qui désire vendre du logiciel libre, il le peut. C'est
> malhonnête mais possible.
heureusement, les diverses associations libres veillent de plus en plus
au grain, et l'on sent pointer une reconnaissance certaine des licenses
type GPL un peu partout en europe.
> C'est tout autant malhonnête de vendre des milliers de clones (sans
> cout de fabrications) de ce qui a été créé une seule fois. La solution
> économique au logiciel libre n'est donc pas dans le logiciel mais dans
> la valeur ajouté par le créateur : le support, le service rendu.
wai, c'est exactement comme de dire qu'un d'jeun va regretter les photos
d'une fête arrosée mises en ligne: y'a que les vieux cons pour penser que
c'est le reflet de toute sa vie et surtout _juger_ une personne là-dessus.
>> L'obscurcissement des sources est une solution à moindre coût qui peut
>> apporter satisfaction. Je ne juge pas par contre de la qualité de la solution shc.
c'est faux: depuis que le monde est monde, dès qu'un type a voulu se garder
quelque chose sans partager, il-y-en a toujours eu un autre, en Gal plus brillant,
qui regardait par-dessus son épaule et "libérait" le savoir (fausse monnaie,
reverse engineering, cracking des protections, contournement logiciel des dongles
hardware, ...)
c'est juste une question de temps et de compétence (cf, par exemple, la dissection
du fonctionnement intime de skype, en son temps, par des spécialistes de la sécurité)
>> Quel est le rapport avec la sécurité par l'obscurcissement qui vise à protéger
>> un système des attaques? Je ne vois pas?
>>
>
> Basile parlait de sécurité non pas au sens sécurité anti-intrusion
> mais au sens d'empêcher quelqu'un de voir comment fonctionne le
> script. Il parle de sentiment de sécurité du développeur.
>
>> Protéger un script qui a demandé une semaine de développement contre
>> un prestataire qui pourrait venir intervenir sur la machine ne nécessite
>> pas un degré de protection élevé contrairement à un système militaire
>> qui est susceptible de se faire attaquer par une centaine de spécialistes de la CIA.
la CIA n'a pas les services idoines: ce sont le FBI et la NSA qui font ce type de boulot.
et la plupart du temps, les réseaux militaires très sensibles US sont carrément totalement
déconnectés de l'Internet (et passent par leurs propres fibres/cuivres.)
>> Le prestataire sera vite découragé si il n'arrive pas à récupérer la source au
>> bout de 2h. Je pense qu'une solution par l'obscurcissement est satisfaisante
>> dans pas mal de cas.
>>
>
> Ce n'est pas acceptable, ce n'est que de la dépendance forcé. Le jour
> où le client n'est plus le client et qu'il veut faire évoluer son
> système, il sera juste bloqué parce que lui et personne ne pourra
> améliorer le script qu'il a pourtant acheté et qui donc lui
> appartient. Le logiciel libre va a l'encontre de cette idée de prise
> en otage des clients.
vi, un simple exemple: le client n'a qu'un binaire, le dev meurt, le client
se retrouve dans la merde (ça fait aussi partie d'un service au client de
qualité que de prévoir ce genre de situation.)
> Ne pas comprendre tout ça c'est pas passer à côté de l'essentiel dans
> le logiciel libre et c'est aussi un grand manque de respect envers les
> développeurs dans le monde du logiciel libre. C'est prendre
> égoïstement Debian parce que c'est gratuit en se moquant du temps
> qu'ils ont passés et pourquoi ils l'ont fait.
il existe aussi un modèle assez viable, utilisé lorsque le dev a vraiment coûté
très cher: on met une license restrictive, on vend le module, et lorsque le dev
est remboursé, on repasse le tout en libre & gratuit (OpenERP faisait ça un
moment); mais le tout reste dans un cadre dans lequel le client a les sources,
juste au cas où...
> Mode Vendredi Off
ptêt pas :D
perso j'ai vu le cas de ce type de PB (pas de sources) au niveau des cinémas d'arts
et d'essais: la boîte d'origine a mis la cabane sur le chien, et comme l'ancien
gérant faisait de la résistance (les source, c'est $$$), il a fallu une décision
de justice pour que ces sources réapparaissent; une autre entreprise a repris le
tout et a intégralement réécrit le soft en java et en GPL pour que tout soit portable
(les gros cinémas sont en *ix, les petits en w$) et que cette situation ne se reproduise plus.
étant donné la technicité qui est nécessaire pour mettre en oeuvre cette solution,
la mise en GPL n'a pas altérée les subsides de l'entreprise qui se paye sur les
prestations de service; et assure une grande sécurité aux clients en cas de chasse.
--
What did Mickey Mouse get for Christmas?
A Dan Quayle watch.
Reply to: