Google ne peut plus corriger les vulnérabilités des versions d'Android les plus populaires

Florian Innocente |

Google a expliqué pourquoi il n'y aurait pas de correctif pour la dernière faille de sécurité (en date) recensée dans le moteur de rendu de pages web d'Android 4.3 ou antérieures.

C'est à l'intérieur de WebView qu'est logée cette faille (mais elle n'est pas la seule). Ce composant système permet l'affichage des pages web et l'exécution de code JavaScript. Depuis Android 4.4 KitKat, WebView a changé de cheval, sautant du moteur WebKit qu'utilise Apple à Blink mis au point par Google et régulièrement mis à jour. WebView, à l'origine, est utilisé dans Android Browser, le navigateur de base fourni avec l'OS. WebView peut aussi servir à des éditeurs tiers dont les applications ont besoin d'afficher des contenus web ou des publicités.

Sur son blog, Tod Beardsley s'alarmait il y a quelques jours de la véritable boite à outils offerte par ces failles de sécurité à des malandrins qui souhaiteraient par exemple détourner des utilisateurs vers des sites fallacieux et récupérer des données privées. Il s'étonne encore que Google soit prêt à corriger une faille dans le composant AudioPlayer de ces anciens Android mais pas à refermer dans WebView une des plus belles portes d'entrées pour les amateurs de vulnérabilités.

Membre de l'équipe sécurité d'Android, Adrian Ludwig est revenu sur le sujet pour expliquer la position de son employeur. Comme indiqué précédemment, Google n'apportera aucun correctif à WebView dans ces anciennes versions d'Android (Jelly Bean n'est pas si vieux, sorti mi-2012 sa dernière révision date d'octobre 2013).

Google, explique-t-il, n'a plus les moyens de mettre à jour un composant aussi complexe et qui, de par sa nature open source, est en constante évolution. Cet effort a été encore fait récemment mais ce n'est plus tenable :

À lui seul, WebKit représente 5 millions de lignes de code et des centaines de développeurs ajoutent des milliers de nouvelles modifications chaque mois, de sorte que, dans certains cas, appliquer des correctifs de vulnérabilité sur une branche de WebKit vieille de 2 ans et plus impose des changements sur des volumes de code importants et ce n'était plus gérable de le faire de manière fiable. Avec les progrès d'Android 4.4, le nombre d'utilisateurs qui sont susceptibles d'être affectés par des problèmes de sécurité hérités de WebKit diminue chaque jour, alors que de plus en plus les gens se mettent à jour ou achètent un nouveau terminal.

Mécaniquement, il est vrai que la part de risques va aller décroissante, mais il y a encore de la marge. En se basant sur les statistiques de Google, les 4 version d'OS concernées - Froyo, Gingerbread, Ice Cream Sandwich et Jelly Bean - pèsent encore pour 60,9% des connexions faites sur Google Play. Dans le lot évidemment certains utilisent probablement Chrome plutôt qu'Android Browser. Restent les apps tierces.

Les solutions répétées par Adrian Ludwig sont multiples. Pour s'affranchir des risques posés par les failles, les utilisateurs peuvent passer à KitKat (encore faut-il que cela soit possible pour leur terminal…). Ou, plus simplement, installer soit Chrome soit Firefox qui n'utilisent plus ou pas le WebView version WebKit. Chrome marche à partir d'Android 4.0 et Firefox fait mieux encore en remontant jusqu'à Android 2.3 (Opera utilise aussi Blink). Sans oublier que Chrome figure en bonne place et par défaut sur de multiples téléphones de grandes marques.

D'autres solutions sont proposées aux développeurs qui utilisent l'ancien WebView, comme de suivre les recommandations de Google en termes de sécurité pour éviter le chargement de sites litigieux ou, carrément, d'intégrer leur propre moteur. C'est vers ce type d'applications "sûres" que les utilisateurs doivent aller, en les choisissant sur Google Play.

Adrian Ludwig insiste sur le fait que Google ne se contente pas de mettre à jour l'OS du moment, mais qu'il tient à jour les deux dernières versions en date.

avatar lmouillart | 

Réponse très peu satisfaisante de la part de Google.
Il faut voir si l'OHA va proposer une solution pour les terminaux qui ne peuvent être mis à jour vers kitkat.

Au même titre que la garantie de fonctionnement, il devrait y avoir une contrainte légale de durée minimal de support pour la correction et distribution des failles de sécurité dans les appareils connectés (5 ans ?).

En effet face a des failles importantes les produits deviennent potentiellement inutilisable sans risquer le vol massif de ses données personnelles, données bancaires, de santé, usurpation identité.

Dans l'idéal le système minimal d'Android devrait être débandé et proposé à l'instar d'autres distributions Linux des versions majeurs avec support étendue, et des versions intermédiaire avec support réduit.

(Chez certains constructeurs, ne pas pouvoir débloquer le système de démarrage et donc ne pas pouvoir passer sur un autre système est totalement inacceptable et devrait également être interdit).

avatar Ze_misanthrope (non vérifié) | 

Marrant de voir comment la réalité d'un problème touchant toutes les sociétés de software est transformé en argument de terreur par les blogs...
Le problème est connu, identifié, et facilement corrigeable par tous les OEM (fabricants) que Google ne puisse pas mettre à jour toutes les anciennes version est logique et évident et les fabricants doivent faire le boulot.

Le patch de Google s'appelle Android 5.0, et ils ont fait leur boulot. Il est évident qu'ils ne doivent pas corriger les anciennes.
Dire "oui mais les autre sutilisateurs sont punis et en danger à cause de Google" est vachement trompeur.

Samsung, HTC, SOny, etc.. ont toute sles billes en main pour faire leur correction.

Tout vouloir comparer à Apple quand on parle d'autres sofwares et d'autres techniques de mise en circulation est trompeur.

avatar lmouillart | 

Oui, que Google se focalise uniquement sur les nouvelles versions ce n'est pas tellement le soucis, c'est leur job dans l'OHA : faire évoluer Android.

Par contre l'OHA pourrait bien mandater un autre éditeur : IBM, Cyanogen, ou autre, afin de proposer une maintenance corrective plus poussée des différentes branches proposées.

C'est important pour les utilisateurs individuels et critique pour les entreprises.

Que le soucis soit pris en charge différemment par chaque constructeurs, ce n'est pas une bonne idée, autant que cela remonte en upstream.

avatar joneskind | 

@Ze_misanthrope.

Ouais enfin faut pas non plus négliger la part de responsabilité de Google non plus. C'était quand même bien confortable pour Google de balancer un OS en disant "tenez, faites en ce que vous voulez, tant qu'on peut faire marcher nos régies publicitaires on s'en fout". La responsabilité est sans le moindre doute partagée ici.

En tout cas si c'est pas l'image de Google qui souffre c'est bien l'image d'Android. Peu importe que ce soit de la faute de Google ou du constructeur, le fait qu'on peut avoir acheté un téléphone il y a 2 ans dont la sécurité est définitivement corrompue. Alors c'est quoi la réponse appropriée ? Faut tout racheter ? C'est pas acceptable.

avatar phantoom | 

@joneskind

"le fait qu'on peut avoir acheté un téléphone il y a 2 ans dont la sécurité est définitivement corrompue. Alors c'est quoi la réponse appropriée ? Faut tout racheter ? C'est pas acceptable."

Sauf que si tu avais lu l'article jusqu'au bout, les solutions existent (cf l'article):

"Ou, plus simplement, installer soit Chrome soit Firefox qui n'utilisent plus ou pas le WebView version WebKit.'

Ce que la majorité des utilisateurs a déjà fait.

Fin de l'histoire

avatar Domsware | 

@phantoom :
Non, non et non. Relis mon poste plus haut : le composant logiciel est utilisé par des applications. Ainsi il ne suffit pas de changer de navigateur. C'est une faille qui touche les navigateurs et les applications qui utilisent cette "vue navigateur".

avatar phantoom | 

@Domsware

"Non, non et non. Relis mon poste plus haut : le composant logiciel est utilisé par des applications. Ainsi il ne suffit pas de changer de navigateur. C'est une faille qui touche les navigateurs et les applications qui utilisent cette "vue navigateur"."

Sauf que ce n'est pas ce que dit l'article, si tu change ne navigateur (en partant bien sur du principe que le navigateur en cause ici est bien celui qui a été choisit par le fabriquant de l'appareil) l'autre n'est plus utilisé car la particularité d'android est justement que le nouveau navigateur remplace l’ancien (application utilisé par défaut toussa....)

avatar lmouillart | 

" si tu change ne navigateur (en partant bien sur du principe que le navigateur en cause ici est bien celui qui a été choisit par le fabriquant de l'appareil) l'autre n'est plus utilisé car la particularité d'android est justement que le nouveau navigateur remplace l’ancien (application utilisé par défaut toussa....)"

Non un navigateur tiers peut utiliser ou non la Webview standard contrairement à iOS,
mais si une application utilise cette Webview alors la faille sera mise en évidence, et sauf si cette application migre vers un autre composant de vue html embarqué, cette faille restera (si le composant n'est pas corrigé).

avatar joneskind | 

@phantoom

Arrête ton char 2 secondes.

Il n'y a pas de solution pour les applications de tierce partie qui utilisent l'ancien moteur, donc non on ne peut pas balayer le problème d'un revers.

Si je devais suivre ton raisonnement, je pourrais tout aussi bien dire qu'on se fout que le logiciel Mail d'Apple soit buggé avec les comptes gmail sous prétexte qu'on peut utiliser un autre client compatible. Et pourtant le problème serait bien moins grave dans ce cas là. Ben désolé mais c'est pas comme ça que ça fonctionne.

Il est question d'une faille de sécurité béante dans un système d'exploitation qui a à peine 2 ans et qui concerne 60% des utilisateurs.

Je te trouve bien facilement enclin à pardonner les fautes de Google mais bien moins quand il s'agit d'Apple. Deux poids deux mesure. Mais est-ce que je dois vraiment m'en étonner, venant de toi ?

avatar Ze_misanthrope (non vérifié) | 

On te l'a expliqué...
Google a patché la Webview, ce patch s'appelle Android 5.0, disponible sur Nexus 4,5,6,7,9,10. Autrement dit les 6 devices à patcher.

Google a publié ce patch dans l'AOSP, qui a été utilisé par Motorola, quelques devices Samsung, HTC et Sony.

Le reste des devices sont pas mis à jour? Bien faut voir Avec Samsung, HTC, Huawei, Sony, et toute la clique.

Je veux une sécurité et des mises à jour, j'ai pris des Nexus et n'ai jamais été déçu.

Les gens veulent des modèles folfloriques car ils n'aiment pas les Nexus, ils ont le choix dans 5.000 devices, mais perdent un peu de sécurité de leur fabricant.

Cela semble clair, sauf pour les détracteurs d'Android.

avatar lmouillart | 

"Google a patché la Webview, ce patch s'appelle Android 5.0, disponible sur Nexus 4,5,6,7,9,10. Autrement dit les 6 devices à patcher."
Non Google à crée une autre branche de Webview basé sur Chromium et décidée qu'elle ne maintiendrait plus la Webview basée sur webkit.

En gros ce sont des nouvelles branches. Pour faire le parallèle c'est comme si Microsoft sortait comme patch de sécurité pour Windows 7 une note de migration vers Windows 8.1.

avatar YAZombie | 

Ben non. Tu as tort. C'est pourtant clair donc tu n'as pas lu, et tu défends l'indéfendable. Je dois dire que c'est curieux.

avatar Pato49 | 

@Ze_misanthrope :
Il n'y a pas que la volonté des fabricants, un terminal bas de gamme d'il y a 2 ans aura des problèmes pour faire tourner kit kat ou Lollipop. Donc c'est un vrai problème et c'est à Google de corriger.

avatar feefee | 

@Ze_misanthrope :

"Google a patché la Webview, ce patch s'appelle Android 5.0, disponible sur Nexus 4,5,6,7,9,10. Autrement dit les 6 devices à patcher."

La je crois bien que tout le monde a compris , mais bon pour les durs de la feuille alors ...
Mais pour les autres versions ?
La faute a qui, je pense que les utilisateurs s'en tapent un peu non ?

avatar Apollo11 | 

@Ze_misanthrope :

Le patch, c'est simplement de passer à un autre navigateur (Chrome, Firefox, Opera...)

Pas compliqué.

avatar YAZombie | 

Ben dis donc, tu devrais réévaluer tes capacités de lecture hein!

avatar Apollo11 | 

Et toi donc!

« Pour s'affranchir des risques posés par les failles, les utilisateurs peuvent passer à KitKat (encore faut-il que cela soit possible pour leur terminal…). Ou, plus simplement, installer soit Chrome soit Firefox qui n'utilisent plus ou pas le WebView version WebKit. »

avatar YAZombie | 

Sauf que plusieurs ont dit que cela ne réglait pas le problème des webviews dans les applications qui l'utilisent. Ça ne règle donc pas le problème, ça règle un problème. Toutes les autres applis qui utilisent les webviews (autrement dit une palanquée) ne sont pas protégées.
Tu disais?

avatar Apollo11 | 

Je disais...

« D'autres solutions sont proposées aux développeurs qui utilisent l'ancien WebView, comme de suivre les recommandations de Google en termes de sécurité pour éviter le chargement de sites litigieux ou, carrément, d'intégrer leur propre moteur. C'est vers ce type d'applications "sûres" que les utilisateurs doivent aller, en les choisissant sur Google Play. »

Je pense que tu exagères la palanquée...

avatar YAZombie | 

C'est tout moi :)
Plus sérieusement, j'estime essentiellement (au sens de "par essence") problématique que le fabricant/développeur d'un système d'exploitation majeur, utilisé par plus de la moitié des possesseurs de smartphones dans le monde, se lave les mains d'un problème aussi crucial et se replie sur le bon vouloir des devs - et accessoirement leurs finances - et l'intelligence (sans même parler de niveau d'information…) de ses clients. Je ne comprends pas comment on peut défendre ça. On ne parle pas ici d'une petite startup dans un garage avec des moyens limités!
Tel que la situation existe aujourd'hui, il n'y pas de solution, il n'y a pas de patches. Il y a des pis-allers, et des clients laissés à l'abandon et à la merci de hackers s'ils ne suivent pas l'actualité techno. Franchement, ça me rendrait fou quelle que soit la société, quel que soit l'OS. C'est inacceptable parce que ce n'est pas un vrai problème technique, mais un choix financier.

avatar Apollo11 | 

Ainsi va le merveilleux monde de l'informatique. Apple et autres ne supportent plus d'anciennes versions de matériels, de logiciels ou d'OS. Passer à la caisse et dites merci.

avatar Ze_misanthrope (non vérifié) | 

Si tu étais un peu malin, tu saurais que cette faille sera corrigée par les fabricants, tout comme cela a été le cas avec le Heartbleed Bug.
On en a fait tout un foin, tous les iMoutons se moquaient d'Android et de leurs updates en crachant dessus à leur manière pour dire que c'était insécurisé, et quelques jours après les patches naissaient chez les fabricants, en même temps que la pomme.

Mais bon, soit, l'histoire est vite oubliéee, et il est plus facile de se plaindre que de constater la réalité.

avatar YAZombie | 

Donc, si on comprend bien ta "logique", Google, contributeur essentiel de webkit à l'époque, baisse les bras devant une tâche qu'il définit comme pratiquement impossible, mais chaque fabricant va faire son petit patch?
On va attendre tes sources avant de juger plus loin des qualificatifs à t'appliquer.

avatar Ze_misanthrope (non vérifié) | 

Oui. C'est bien ce que j'ai dit. J'ai aussi comparé au précédent "scandale" hearthbleed qui s'est bien terminé malgré la mauvaise foi et des commentaires identiques à cet article.
De quoi veux tu des sources? Peut être peut on jouer au jeu inverse? Tu veux prouver que tous les terminaux ANdroid sont encore vulnérables?

Zou, une petite image pour te montrer qu'il ne faut pas une mise à jour Android pour corriger des failles de sécurité:

http://www.androidcentral.com/sites/androidcentral.com/files/styles/larg...

Bonne soirée.

avatar YAZombie | 

Sauf qu'on ne parle pas de heartbleed ici, mais bien d'un risque lié à webkit qui n'est pas patché pour plus de la moitié des terminaux. Tu nous dis que les fabricants vont sortir des patches - on ne sait d'où puisque Google ne va pas en fournir -, je voudrais des sources de ça. C'est pas très compliqué pourtant…

avatar Ze_misanthrope (non vérifié) | 

Bien ils ont sorti des patche spour des failles bien moindres que webkit (hearthbleed était une extra minorités de terminaux en 4.1ou similaire si je rappelle et ici on parle de 61% des terminaux), et du coup, il te faut des sources pour montrer qu'ils vont aussi patcher une faille 50 fois plus grande?

Allez, je te laisse cracher ton venin, et vais faire des choses beaucoup plus intéressantes que ce débat, comme ranger mes chaussettes par exemple...

avatar YAZombie | 

Tu joues maintenant à l'extrême mauvaise foi du fan/hateboy, qui plutôt que reconnaître qu'll a tort se réfugie dans l'accusation (j'ai lancé bien peu de venin comparé à toi) et la victimisation… oyoyoyoyoooo…On croirait qu'en disant que Google chie dans la colle c'est toi que j'insulte! Faut prendre un peu de distance hein, Google n'en a rien à cirer de toi ou de moi oO Et j'imagine que tu es du genre à traiter les autres de fanboys…

Les fabricants n'ont jamais sorti de patches. JAMAIS. Google a fait des patches, les a fournis aux fabricants, qui les desservait aux appareils. Ici Google pas faire patch, fabricants pas servir patches. C'EST LE PROBLÈME DONT ON PARLE DEPUIS LE DÉBUT!!!
C'est plus clair en pidgin, comme ça?
C'est dingue quand même d'être d'une mauvaise foi aussi grande quand GOOGLE LUI-MÊME ADMET NE PAS POUVOIR FAIRE DE PATCH COMMENT TU VEUX QUE LES FABRICANTS EN FASSE?
Je crie, on ne sait jamais, ça rentrera peut-être?

Franchement, devant cette mauvaise foi ou cette incompréhension des processus de développement clairement annoncés par Google, je ne sais plus quoi faire, ça me laisse pantois.

avatar Ze_misanthrope (non vérifié) | 

T'as beau crier tant que tu veux, les OEM sortent des patches de sécurité et des mises à jour de sécurité, des fois avec Google, das fois sans, et cela quand il le faut.
Maintenant, tu fais ce que tu veux, tu t'excites, tu cries, tu hurles, tu te frottes contre la cuisse de qui tu veux en pensant à Apple, tu peux le nier, cela ne me fait ni chaud ni froid.

Bonne soirée.

avatar YAZombie | 

Hé bien non, tu as tort ou tu mens volontairement. Les OEM ne sortent des patches que pour les services qu'ils ont ajoutés (les applis, magasins et autres surcouches Samsung et autres) mais pas pour les "core services" d'Android.
Pour Heatbleed c'est bien Google qui a servi les informations de patchage aux OEM: http://googleonlinesecurity.blogspot.com.es/2014/04/google-services-upda...
Et imaginer que les OEM vont faire un boulot que Google avoue ne pas pouvoir faire (sans dépenser trop d'argent à leur goût), c'est pas très malin.

Maintenant tu peux le nier tant que tu veux, sans sources ce n'est que du déni (et ça m'inquiète un peu pour ton moi) sans aucune crédibilité. Et tu ne trouveras pas de sources, parce qu'il n'y aura pas de patch sans Google.

Je ne pense pas à une marque quand je me frotte contre une cuisse, je pense à mon chat à la limite, c'est plus doux. Rien à cirer des marques et corporations quelles qu'elles soient, tant qu'elles me font des produits qui me vont ça peut être n'importe qui. Mais quand elles chient dans la colle pas de raison de se voiler la face et de les défendre bec et ongles, c'est puéril.

avatar Ghaleon111 | 

En même temps, la plupart des smartphones android qui ont 2 ans sont sous kitkat aujourd'hui donc c'est un faux problème et c'est aussi aux constructeurs de mettre la main a la patte
En plus, les 3/4 des smartphones android pas trop vieux vont passer a lollipop entre maintenant et avril et les nombreux nouveaux modèles seront direct en lollipop donc plus de soucis de ce genre
Ça ne concerne qu'une minorité de personne qui n'ont pas changé de smartphone depuis au moins 3 ans

avatar joneskind | 

@Ghaleon111

Si tu lis correctement l'article tu vois que plus de 60% des terminaux sont concernés. Alors on se fout pas mal de savoir s'ils ont plus de 2 ans ou pas, et s'ils seront remplacés rapidement ou non Personnellement je garde mes téléphones 4 ans. Donc ça ferait encore 2 ans à vivre avec une faille de sécurité ? C'est pas sérieux. Les constructeurs n'ont aucune excuse.

avatar phantoom | 

@joneskind

Encore une fois, si tu avais lu l'article, un petit chrome / firefow / opéra et plus de faille.

Tu pouras donc bien garder ton smartphone encore 2 ans sans souci.

;)

avatar Ze_misanthrope (non vérifié) | 

Domsware a raison en te répondant ailleurs...
Les WebView sont utilisées dans de nombreuses applis (les pourries, certes, celle qui sont juste une vue sur un site HTML)..

Donc Opera n'y change rien!

avatar joneskind | 

@phantoom

Oh mais je l'ai lu l'article. Et si tu l'avais lu aussi bien que moi tu saurais que le problème ne vient pas du navigateur internet proprement dit mais du moteur qui peut être utilisé dans les apps tierces.

Apprend à lire avant de donner des leçons coyote.

avatar feefee | 

@joneskind :

"Apprend à lire avant de donner des leçons coyote."

2-0 balle au centre ..
Pas de prolongations :-)

avatar YAZombie | 

"En même temps, la plupart des smartphones android qui ont 2 ans sont sous kitkat aujourd'hui "
C'est dingue, c'est de la mauvaise foi ou juste un grave problème de lecture? Environ 61%, ce n'est pas un "faux-problème".

avatar Ze_misanthrope (non vérifié) | 

C'est dingue, c'est de la crétinerie ou pas? Quand il y a un bug de sécurité (rappelle toi le Heartbleed Bug) tous les fabricants ont poussé leurs patches rapidement, certains avant la pomme, les autres après. Ici, ils feront le même, mais il ets tellement plus facile de croire de jolis graphes avec des couleurs comme on vous en donne à manger à chaque keynote plutôt que se rattacher à la réalité qui est plus difficile à suivre!

avatar YAZombie | 

Avant de te permettre de parler de crétinerie tu ferais bien d'apprendre à lire, l'anglais peut-être en plus du français. Clairement les patches que poussaient les fabricants étaient initialement faits par Google. À ce stade, pour les OS précédant Android 4.4 Google ne proposera plus de patches, et je vois mal chaque fabricant faire son petit patch dans son coin (ça c'est vraiment d'une imbécillité difficile à imaginer).
Tout ça, c'est pas bien compliqué à comprendre, il suffit de lire le post d'Adrian Ludwig, il explique tout dans un langage clair.
Donc tu racontes littéralement n'importe quoi.
On va attendre avec impatience que tu nous fournisses des sources contredisant tout cela, ou que tu fasses amende honorable. Bizarrement, je ne pense pas qu'on va pouvoir admirer ni l'un ni l''autre.

avatar Ze_misanthrope (non vérifié) | 

Tu veux des preuves de quoi, que Hearthbleed a été corrigé rapidement?
En 4 secondes, je retrouve la mise à jour HTC: http://www.androidcentral.com/couple-older-htc-phones-updated-heartbleed... il faut la même avec tous les téléphones mis à jours?

avatar YAZombie | 

Non non, des sources disant que les fabricants vont fabriquer des patches pour la faille actuelle avec leurs petites mimines, ça m'ira très bien. Comme tu n'en trouveras pas, j'attendrai ensuite que tu fasses amende honorable. C'est juste une question de bonne éducation.
PS: c'est pas hearthbleed, mais heartbleed, c'est bien un cœur qui saigne, pas un foyer ou un conduit de cheminée.

avatar Ze_misanthrope (non vérifié) | 

Bien oui, ils corrigent plein de petites faille de sécurité, vu que c'est un peu leur boulot.. Et celle ci, ils ne vont pas la patcher.
Elle est juste beaucoup plus grande et énorme que ce qu'ils patchent habituellement, et il te faut une preuve taillée dans le roc.

As tu une preuve qu'Apple va pas arrêter de faire des iPhones, une preuve qu'Apple ne va pas passer à Windows?

avatar YAZombie | 

Là, je ne comprends pas pourquoi tu t'acharnes, c'est même un peu bizarre, presque touchant je dois avouer. Mais il faut t'en remettre, Google a baissé les bras sur cette histoire, et les fabricants ne peuvent pas faire ce que Google ne peut pas faire, avoue-le (à toi-même?). Pourquoi ça te choque tellement que tu restes dans le déni? Android c'est pas toi coco ;) Toutes les entreprises chient dans la colle à un moment ou un autre et plus souvent qu'il faudrait, et il faut le dénoncer quelle que soit l'entreprise, parce que ce sont des choix financiers dans l'immense majorité des cas. Il ne faut pas les défendre quand elles agissent au détriment de leurs clients, voyons!
Crois-moi je ne suis pas tendre avec Apple quand ils déconnent - et c'est souvent, notamment sur les services à mon avis -, mais je sais aussi reconnaître quand une autre boîte fait les choses bien ou mieux (Google avec Android L que je trouve le début de la maturité, ou Microsoft qui a bien changé par rapport à l'époque où ils étaient franchement "evil"). Pas de religion, mais pas de pardon facile non plus, ça leur laisse le champ libre!

avatar Ze_misanthrope (non vérifié) | 

C'est l'affirmation du "si Google le fait pas, personne le fait" qui est touchant...
Je ne vois nulle part dans https://www.webkit.org/ que seul Google a le droit d'y toucher, ou "propriété de Google" un peu partout.

avatar YAZombie | 

Je n'ai jamais dit "personne n'a le droit d'y toucher", ce serait stupide et je ne suis pas stupide.
J'ai dit en substance que si Google, dont les équipes ont travaillé sur webkit pendant au moins 5 ans avant de passer à Blink dit être incapable de s'y retrouver dans les 5 millions de lignes de code pour développer un patch, il est inimaginable que les fabricants de téléphone, qui n'ont jamais eu à toucher à webkit puisque c'était Google qui en assurait le développement et la maintenance pour Android, puisse le faire. Si c'est trop complexe pour Google c'est évidemment trop complexe pour les fabricants. Et c'est d'ailleurs la raison pour laquelle aucun n'a annoncé de patch, ou plutôt Google a annoncé qu'il n'y aurait pas de patch. Et c'est la raison de toute cette histoire: personne ne va proposer de patch. Trouvez des stratégies alternatives bancales. Circulez.
Ça va mieux le rangement des chaussettes que la compréhension de cette histoire, j'espère? J'espère que tu es moins dans le déni avec les chaussettes quand même?

avatar Ze_misanthrope (non vérifié) | 

J'adore comment tu passes du petit roquet qui hurle aux sources à "wai, mais ptet que si Google sait pas le faire, personne ne le sait"... Marrant...
J'ai fini les chaussettes blanches, puis les rouges, je vais attaquer les bleues, mais vais surtout te laisser réfléchir un peu à tes sources puisqu'elles sont si importantes et laisser la place pour les autres lecteurs s'exprimer. Mes messages ont été clairement passés, pas besoin de me répeter.

avatar YAZombie | 

C'est parce que tu me fais rire que je suis plus doux, et s'il y a une chose que je ne suis pas c'est un petit roquet. D'ailleurs quand je dis "incapable", il n'y a pas de "p'tet", tu as dû fumer un peu trop tes chaussettes. Le petit roquet c'est celui qui affirme des choses sans fournir la moindre source pour appuyer ses dires, alors que la source essentielle d'information, en l'occurrence le développeur et mainteneur du système, a clairement indiqué l'inverse de ce que lui affirme, en l'occurrence qu'il n'y aurait pas de patch. Le petit roquet c'est celui qui ne comprend pas que s'il dit l'inverse de la source principale, c'est à lui à fournir des preuves. Le petit roquet c'est celui qui reste incapable d'appuyer ses dires par des sources (annonces de fabricants, articles dans des journaux, que sais-je), malgré une bonne dizaine de posts. Le petit roquet c'est celui qui aboie parce qu'il pense qu'il suffit qu'il dise qq chose pour que ça devienne parole d'évangile, quand tout va à l'encontre de ce qu'il affirme et que ce qui soutient ses dires est très exactement égale à zéro. Le roquet, il a la foi, en lui-même, imperturbable, contre vents et marées, contre toutes évidences. C'est presque beau. Un chouïa pathétique, mais presque beau.

avatar Ze_misanthrope (non vérifié) | 

Petit rappel des faits:
Je t'ai montré par des sources que les OEM corrigent des failles de sécurité avec ou sans l'aide de Google. Je n'ai pas de quoi sortit la liste de TOUS les patches de sécurité, mais il suffit d'avoir dans sa famille une personne avec un HTC, un Sony, ou autre pour voir que ces patches existent et sont une réalité.

Autre fait: c'est toi qui spécule sur le fait que celle ci ne sera pas corrigée nulle part, sans aucun fait, sans source, sans rien. Juste basé sur ton appréciation "Google le fait pas, donc personne le fera".. Boule de cristal, ou sorcellerie?

De mon côté, j'utilise le bon sens pour dire qu'il y a de grandes chances qu'il le soie. Toi, tu bases sur rien pour dire qu'il ne le sera pas.

et un roquet est "un petit chien hargneux et qui aboie souvent et de manière intempestive.", aucun rapport avec affirmer des choses, ta définition est un peu déviée, encore une fois pour dire ce qui t'arrange.

avatar YAZombie | 

Petit rappel des faits:
Je t'ai montré par des sources que les OEM corrigent des failles de sécurité avec ou sans l'aide de Google. Je n'ai pas de quoi sortit la liste de TOUS les patches de sécurité, mais il suffit d'avoir dans sa famille une personne avec un HTC, un Sony, ou autre pour voir que ces patches existent et sont une réalité.
Et je n'ai même pas remis ça en cause, j'ai même acquiescé, partiellement du moins: comme je l'ai dit (mais tu n'écoutais pas en classe, c'est pas bien!), les patches correspondant aux core services (donc webkit, dont il est question dans le cas présent) étaient et sont fournis par Google qui a dit ne pas pouvoir/vouloir le faire ici ; quand c'est une surcouche ou un service du fabricant c'est bien sûr lui qui s'y colle.
Problème: ça démontre l'inverse de ce que tu affirmes pour le cas présent. Les fabricants ne patchent pas les core services, c'est Google, et Google a dit qu'il ne le ferait pas. En principe c'est pas difficile à comprendre mais bon…

Autre fait: c'est toi qui spécules sur le fait que celle ci ne sera pas corrigée nulle part, sans aucun fait, sans source, sans rien. Juste basé sur ton appréciation "Google le fait pas, donc personne le fera".. Boule de cristal, ou sorcellerie?
Correction: sur le fait que si Google, qui a travaillé pendant au moins 5 ans dessus, dit ne pas pouvoir le faire, comment veux-tu que les fabricants le fassent?
L'information, je l'ai, c'est Google qui la donne. Et du côté des fabricants, tant que ne donneras pas de source (c'est toi qui dit l'inverse de ce que l'information donne, c'est à toi à fournir les preuves, c'est un b.a-ba), le silence est assourdissant. D'autant que (je le répète, tu sembles avoir du mal à l'entendre) les fabricants ne développent pas de patches des core services et webkit est un core service.
Toi, à l'inverse, sans la moindre information de qui que ce soit et alors que toutes les informations disponibles aujourd'hui disent l'inverse, tu spécules sur le fait qu'un hypothétique fabricant va s'y coller. Boule de cristal? Sorcellerie?

De mon côté, j'utilise le bon sens pour dire qu'il y a de grandes chances qu'il le soie. Toi, tu bases sur rien pour dire qu'il ne le sera pas.
C'est très exactement l'inverse du bon sens puisque tout indique l'inverse à ce jour: Google dit ne pas pouvoir le faire, et jusqu'à ce que tu me trouves une annonce d'un fabricant disant qu'il va le prendre en charge je ne vois pas où est ton "bon sens"?

et un roquet est "un petit chien hargneux et qui aboie souvent et de manière intempestive.", aucun rapport avec affirmer des choses, ta définition est un peu déviée, encore une fois pour dire ce qui t'arrange.
Il y a définition, et il y a usage, voire license poétique. Hé oui, je suis un poète moi monsieur!

Un fait est certain: s'il y a quelqu'un qui spécule ici, c'est toi. À ce jour, strictement rien ne permet de dire qu'un fabricant va s'y coller, dépenser un argent possiblement colossal pour faire développer un patch (c'est pas leur boulot ni leur expertise) qui bénéficiera à tout le monde (comme c'est un core service, s'il y a patch il est plus que probable qu'il sera applicable à tous). Rien.

avatar ckermo80Dqy | 

En creux, on en revient donc toujours à la pertinence du choix fondamental d'Apple (merci Steve Jobs) : garder le contrôle du couple matériel/logiciel.

avatar keyzone | 

La faille goto fail; goto fail; n'a été corrigée que sur iOS 6 et supérieur. Ça revient au même ...

Pages

CONNEXION UTILISATEUR