Auteur Sujet: Microsoft va intégrer le Bash Ubuntu nativement à Windows. (Lu 30800 fois)

vivien · « **Réponse #24 le:** 02 avril 2016 à 15:13:29 »

J'ai compris que Microsoft va intégrer nativement ssh (pas que dans l’édition développeur) pour pouvoir se connecter a des serveurs linux, sans devoir télécharger putty.

Cela diminuera les risques de sécurité. Putty, c'est sympa mais on ne sais pas si une personne a compilé le logiciel avec un envoi des mot de passe à un tiers. Putty a accès à tous les mot de passe que vous tapez en clair, et un simple logiciel récupéré sur un site web standard.

alain_p · « **Réponse #25 le:** 02 avril 2016 à 15:23:54 »

Putty est un logiciel libre, et il est facile de voir dans le code, ou en sniffant les paquets, s'il envoie les mots de passe à un tiers. D'ailleurs, à ma connaissance, il ne stocke pas les mots de passe, il faut les taper à chaque fois. Et on peut utiliser une clé ssh pour se connecter, ce qui dispense d'un mot de passe.

Par exemple ici :
http://superuser.com/questions/458837/allow-putty-store-passwords

et aussi :
http://www.chiark.greenend.org.uk/~sgtatham/putty/faq.html#faq-password-remember

Filezilla est bien plus dangereux, qui lui, stocke les mots de passe en clair. Il vaut mieux le savoir...

P.S : de plus, faut-il faire plus confiance à Microsoft ?

minidou · « **Réponse #26 le:** 02 avril 2016 à 15:53:36 »

quid du cas inverse? Il a aussi été annoncé la possibilité pour Ubuntu d'acquérir la bibliothèque de Windows et donc faire tourner des applications UWP (potentiellement même des jeux DX12?)
cela veut dire plus de binaire proprio dans Ubuntu

peut-être des pistes en plus pour les dev de Wine

corrector · « **Réponse #27 le:** 02 avril 2016 à 18:00:05 »

Citation de: David75 le 02 avril 2016 à 12:30:53

Je suis loin de maîtriser le sujet mais je me souviens des problématiques de bios bloqués pour linux, mi-ouverts par Microsoft et toute l'effervescence que ça avait créé.
Ne serait-ce pas la possibilité d'aller encore plus loin dans la fermeture, en disant : vous voulez du linux, vous pouvez avec notre solution, et seulement celle-ci...?

C'est pas du linux, c'est de l'émulation de linux.

corrector · « **Réponse #28 le:** 02 avril 2016 à 18:13:49 »

Citation de: alain_p le 02 avril 2016 à 15:23:54

Putty est un logiciel libre, et il est facile de voir dans le code, ou en sniffant les paquets, s'il envoie les mots de passe à un tiers. D'ailleurs, à ma connaissance, il ne stocke pas les mots de passe, il faut les taper à chaque fois. Et on peut utiliser une clé ssh pour se connecter, ce qui dispense d'un mot de passe.

J'ai du mal à suivre ta logique.

Tu veux stocker les mdp ou pas?

alain_p · « **Réponse #29 le:** 02 avril 2016 à 18:23:49 »

Non, c'est Vivien qui disait que Putty les stockait en clair. Pour moi, il fait très bien de ne pas les stocker, je préfère utiliser une paire de clés privée/publique pour me connecter sans mot de passe.

corrector · « **Réponse #30 le:** 02 avril 2016 à 18:35:44 »

Pourquoi tu ne veux pas qu'il les stocke en clair?

vivien · « **Réponse #31 le:** 02 avril 2016 à 19:00:39 »

Ce que je dis, c'est que peu de personnes compilent putty eux même et que les binaires peuvent avoir été réalisés avec un code source différent de celui présenté. Le risque est réel, surtout que le site web n'est pas en https.

Le risque est bien plus faible avec les logiciels distribués distribués dans les distributions linux, vu que c'est signé de bout en bout : on sait qui a compilé le binaire. Si le dépôt est corrompu, il est impossible d'installer un logiciel.

Il y a quand même une volonté d'aller plus loin :

Compilations reproductibles dans Debian et partout ailleurs

Les logiciels libres nous donnent la possibilité de vérifier le comportement des logiciels en étudiant leurs code source. Néanmoins, lorsque nous utilisons des binaires qui nous ont été distribués, comment peut-on s’assurer qu’ils ont bien été créé à partir du code dont ils sont prétendument issus ? Rendre les compilations « déterministes » ou « reproductibles » permet à quiconque d’obtenir le même résultat, à l’octet près, afin d’empêcher des malversations difficiles à détecter.

Cela fait maintenant deux ans que l’effort a commencé au sein de Debian. Au début du printemps, les expériences ont atteint plus de 18 000 paquets sources (80%) pouvant être compilés de façon reproductible. De nombreux problèmes ont pu être identifiés et corrigés par l’équipe qui s’est constituée autour de projet. Il reste néanmoins beaucoup à faire dans Debian… et plus largement dans le monde du logiciel libre.

Source : RMLL 2015 le Lundi 6 juillet 2015 par Lunar (Développeur Debian)

Avancées sur les compilations reproductibles

L'équipe travaillant sur les compilations reproductibles a envoyé un compte-rendu de son travail qui permet à quiconque de vérifier de façon indépendante qu'un paquet binaire donné de Debian a été effectivement compilé à partir du paquet source spécifié. Actuellement, plus de 83 % de tous les paquets source dans l'archive main de la distribution unstable peuvent être compilés de manière reproductible. L'équipe a développé l'outil debbindiff qui fournit des différentiels détaillés et approfondis de paquets binaires. Les paquets sont alors construits deux fois sur jenkins.debian.net et les résultats de reproductibilité sont sur le système de suivi de paquets de Debian. L'équipe soumettra la proposition de faire des compilations reproductibles un objectif de publication pour Stretch, la prochaine distribution stable après Jessie.

Source : Debian le 16 février 2015

cali · « **Réponse #32 le:** 02 avril 2016 à 19:01:03 »

Sinon Cygwin existe depuis 1995...

Breizh 29 · « **Réponse #33 le:** 02 avril 2016 à 19:19:57 »

Citation de: alain_p le 02 avril 2016 à 13:47:40

Et bah, moi, je le réclame pour toutes les éditions de windows 10, et pas seulement pour les développeurs, même s'il s'agit d'un composant à installer. Et tant pis pour Azure...

P.S : ils parlent de suggestions au début pour la ligne de commande traditionnelle windows. Je n'ai jamais compris, sauf vouloir décourager son usage, son manque d'ergonomie. Ils peuvent très facilement l'améliorer en rajoutant un historique de commandes (quand on ouvre une fenêtre cmd, pouvoir rappeler les commandes d'une précédente fenêtre cmd), des facilités d'édition, de copier-coller, de complétion de commande (celle présente est très limitée), similaire à ce que l'on trouve dans bash, ou aussi sous putty...

C'est clair que ça serait un gros progrès, pour avoir utilisé les deux. De plus moins qui comprend pas grand chose à un "console", c'est plus facile en Bash.
Pour le copier/coller ça fonctionne sous win 10.

Nh3xus · « **Réponse #34 le:** 03 avril 2016 à 00:26:18 »

Citer

Putty a accès à tous les mot de passe que vous tapez en clair, et un simple logiciel récupéré sur un site web standard.

Citer

Non, c'est Vivien qui disait que Putty les stockait en clair. Pour moi, il fait très bien de ne pas les stocker, je préfère utiliser une paire de clés privée/publique pour me connecter sans mot de passe.

Pour Putty, il est effectivement plus raisonnable de l'utiliser avec des clés RSA.

Vous pouvez gérer ces dernières avec Pageant afin de ne pas avoir à retaper la passphrase de vos clés à chaque initiation de connexion SSH.

Citer

Filezilla est bien plus dangereux, qui lui, stocke les mots de passe en clair. Il vaut mieux le savoir...

On lui préfèrera donc WinSCP, j'imagine. C'est en tout cas ce que je fais depuis que le développeur s'est mis à se comporter comme un abruti.

De manière générale, il faut faire attention aux bibliothèques qu'utilisent les logiciels libres pour la gestion de mots de passe.

A titre d'exemple, la libpurple utilisée notamment par Pidgin, stocke les messages en clair.

Edit : 300 ème message

corrector · « **Réponse #35 le:** 03 avril 2016 à 00:38:59 »

Et? Qu'est-ce que ça peut faire?

Auteur Sujet: Microsoft va intégrer le Bash Ubuntu nativement à Windows. (Lu 30800 fois)

corrector

corrector

corrector

corrector