Blogger :
MSDN Blogs
All posts :
All posts by MSDN Blogs
Category :
SAPscript
Blogged date : 2008 Mar 26
Si l'on compare le nombre de correctifs de sécurité publiés par Microsoft avec celui des articles de la base de connaissances, le score est sans appel ! Ce n'est pas parce que, dans une grande majorité des cas, les correctifs ne sont pas déployés qu'il ne faut pas les ignorer. La bonne démarche est d'éviter de devoir les déployer par des mesures pro-actives.
Le déploiement de correctifs de sécurité répond à une démarche de type "assurance tranquillité". Cette tranquillité s'achète également, pour ce qui concerne les bugs, en évitant de ce trouver dans une situation inhabituelle ; en utilisant les logiciels dans des cadres les plus classiques qui soient.
Prenons, presque au hasard, un correctif récent, le premier de la liste des corrections apportées par le service pack 1 de Windows Vista, le 843289 :
En anglais, Proxy server settings are not set correctly in Internet Explorer after you download a proxy script that uses chunk encoding
En traduction automatique : Des paramètres Serveur proxy ne sont pas configurés correctement dans Internet Explorer après avoir téléchargé un script de proxy qui utilise un codage segment.
Après une petite recherche sur ce que représente ce "chunk encoding", une petite explication s'impose : lorsqu'un client connaît par avance la taille totale des données qu'il désire envoyer, il utilise l'entête Content-Length du protocole HTTP pour spécifier cette taille, puis envoie les données. Dans certains cas, le client ne connaît pas la taille totale, et utilise alors un "chunk encoding". Pour cela, la taille est spécifiée pour chaque fragment de données.
Pour revenir à ma démonstration, ce type de bug est du type de ce que je décris parfois comme "sautez à cloche pied trois fois autour de la maison et la trappe s'ouvrira!". Les conditions pour rencontrer ce problème pourraient aisément être évitées, soit par l'utilisation d'un script simple, soit par l'évaluation de sa taille de manière à éviter ce fameux "chunk encoding". Ce n'est pas parce que c'est autorisé qu'il faut l'utiliser.
Plus les conditions d'utilisation des logiciels sont spécifiques et plus vous risquez de tomber dans une situation qui n'a jamais été testée. Pour reprendre le thème de la standardisation qui m'est cher, rester standard, c'est l'assurance d'éviter les problèmes.
