Bonjour,
pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option
"Lire tous les messages en texte clair"
Depuis que j'ai installé le SP2, et que du coup il y a également
l'option de sécurite "Bloquer les images et autres contenus externes
dans les messages HTML", je me dis que la première option n'est plus
aussi nécessaire, et qu'il n'ya peut-être plus de vraio risque à
afficher les messages reçus en HTML.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On 12 Feb 2005 21:56:27 GMT, Laurent :
et qu'il n'ya peut-être plus de vraio risque à afficher les messages reçus en HTML.
Qu'en pensez-vous ?
IE étant intégré à l'OS, il me paraît structurellement peu fiable -- et ratistoler ici, ajouter une rustine là, ne me convainc guère. Du coup, utiliser le moteur de rendu de IE pour afficher un mail sur lequel tu n'as aucun contrôle a priori, me paraît dangereux. Maintenant, si tu as en amont un système fiable de contrôle et nettoyage des emails, le problème est différent.
-- ;-)
On 12 Feb 2005 21:56:27 GMT, Laurent
<Laurent.Grenet.Enlevez-Ca@Voila.fr>:
et qu'il n'ya peut-être plus de vraio risque à
afficher les messages reçus en HTML.
Qu'en pensez-vous ?
IE étant intégré à l'OS, il me paraît structurellement peu fiable --
et ratistoler ici, ajouter une rustine là, ne me convainc guère.
Du coup, utiliser le moteur de rendu de IE pour afficher un mail sur
lequel tu n'as aucun contrôle a priori, me paraît dangereux.
Maintenant, si tu as en amont un système fiable de contrôle et
nettoyage des emails, le problème est différent.
et qu'il n'ya peut-être plus de vraio risque à afficher les messages reçus en HTML.
Qu'en pensez-vous ?
IE étant intégré à l'OS, il me paraît structurellement peu fiable -- et ratistoler ici, ajouter une rustine là, ne me convainc guère. Du coup, utiliser le moteur de rendu de IE pour afficher un mail sur lequel tu n'as aucun contrôle a priori, me paraît dangereux. Maintenant, si tu as en amont un système fiable de contrôle et nettoyage des emails, le problème est différent.
-- ;-)
jceel
"Laurent" a écrit dans le message de news:
Bonjour, pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option "Lire tous les messages en texte clair" Depuis que j'ai installé le SP2, et que du coup il y a également l'option de sécurite "Bloquer les images et autres contenus externes dans les messages HTML", je me dis que la première option n'est plus aussi nécessaire, et qu'il n'ya peut-être plus de vraio risque à afficher les messages reçus en HTML.
elles ne sont pas de même nature et en fait la dernière bloque auusi les images distantes en texte de BRUTE ;-( par exemple ça interdit à OE-QUOTEfix d'aller chercher le smyley dans le répertoire de ton ordi quuand il lit son acronyme..et oui l'image est distant
mon point de vue
où tu mets les 2 ou rien du tout ce qui est mon cas puisque je suis surtout sur les news en son son et lumières autre possibilité OETOOL sur mon site il te met 14 boutons dans la barre d'affichage de OE dont 1 pour switcher de texte clair à normal
-- @++++Jceel
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
"Laurent" <Laurent.Grenet.Enlevez-Ca@Voila.fr> a écrit dans le message de
news: mn.650d7d52c35552d3.2067@Voila.fr...
Bonjour,
pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option
"Lire tous les messages en texte clair"
Depuis que j'ai installé le SP2, et que du coup il y a également l'option
de sécurite "Bloquer les images et autres contenus externes dans les
messages HTML", je me dis que la première option n'est plus aussi
nécessaire, et qu'il n'ya peut-être plus de vraio risque à afficher les
messages reçus en HTML.
elles ne sont pas de même nature et en fait la dernière bloque auusi les
images distantes en texte de BRUTE ;-(
par exemple ça interdit à OE-QUOTEfix d'aller chercher le smyley dans le
répertoire de ton ordi quuand il lit son acronyme..et oui l'image est
distant
mon point de vue
où tu mets les 2 ou rien du tout ce qui est mon cas puisque je suis
surtout sur les news en son son et lumières
autre possibilité
OETOOL sur mon site
il te met 14 boutons dans la barre d'affichage de OE dont 1 pour switcher
de texte clair à normal
--
@++++Jceel
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
Bonjour, pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option "Lire tous les messages en texte clair" Depuis que j'ai installé le SP2, et que du coup il y a également l'option de sécurite "Bloquer les images et autres contenus externes dans les messages HTML", je me dis que la première option n'est plus aussi nécessaire, et qu'il n'ya peut-être plus de vraio risque à afficher les messages reçus en HTML.
elles ne sont pas de même nature et en fait la dernière bloque auusi les images distantes en texte de BRUTE ;-( par exemple ça interdit à OE-QUOTEfix d'aller chercher le smyley dans le répertoire de ton ordi quuand il lit son acronyme..et oui l'image est distant
mon point de vue
où tu mets les 2 ou rien du tout ce qui est mon cas puisque je suis surtout sur les news en son son et lumières autre possibilité OETOOL sur mon site il te met 14 boutons dans la barre d'affichage de OE dont 1 pour switcher de texte clair à normal
-- @++++Jceel
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
WinTerMiNator
"Laurent" a écrit dans le message de news:
Bonjour, pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option "Lire tous les messages en texte clair" Depuis que j'ai installé le SP2, et que du coup il y a également l'option de sécurite "Bloquer les images et autres contenus externes dans les messages HTML", je me dis que la première option n'est plus aussi nécessaire, et qu'il n'ya peut-être plus de vraio risque à afficher les messages reçus en HTML.
Qu'en pensez-vous ?
-- Laurent GRENET
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml" mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un script, qu'il soit javascript ou VBS, ou une applet.
Il n'y a donc *plus aucun risque* à afficher les messages en html.
-- Michel Nallino aka WinTerMiNator http://www.winterminator.fr.st (Internet et sécurité) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
"Laurent" <Laurent.Grenet.Enlevez-Ca@Voila.fr> a écrit dans le message de
news: mn.650d7d52c35552d3.2067@Voila.fr...
Bonjour,
pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option
"Lire tous les messages en texte clair"
Depuis que j'ai installé le SP2, et que du coup il y a également l'option
de sécurite "Bloquer les images et autres contenus externes dans les
messages HTML", je me dis que la première option n'est plus aussi
nécessaire, et qu'il n'ya peut-être plus de vraio risque à afficher les
messages reçus en HTML.
Qu'en pensez-vous ?
--
Laurent GRENET
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml"
mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un
script, qu'il soit javascript ou VBS, ou une applet.
Il n'y a donc *plus aucun risque* à afficher les messages en html.
--
Michel Nallino aka WinTerMiNator
http://www.winterminator.fr.st (Internet et sécurité)
http://www.gnupgwin.fr.st (GnuPG pour Windows)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
Bonjour, pour d'évidenntes raisons de sécurité, j'avais coché dans OE l'option "Lire tous les messages en texte clair" Depuis que j'ai installé le SP2, et que du coup il y a également l'option de sécurite "Bloquer les images et autres contenus externes dans les messages HTML", je me dis que la première option n'est plus aussi nécessaire, et qu'il n'ya peut-être plus de vraio risque à afficher les messages reçus en HTML.
Qu'en pensez-vous ?
-- Laurent GRENET
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml" mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un script, qu'il soit javascript ou VBS, ou une applet.
Il n'y a donc *plus aucun risque* à afficher les messages en html.
-- Michel Nallino aka WinTerMiNator http://www.winterminator.fr.st (Internet et sécurité) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
Nicob
On Sun, 13 Feb 2005 13:40:06 +0000, WinTerMiNator wrote:
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml" mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un script, qu'il soit javascript ou VBS, ou une applet.
Et il n'y aurait pas deux/trois débordements de buffer qui trainent dans "Richedit32" ? Ca ferait un bon vecteur d'attaque ;-)
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et donc les risques, non ?
Nicob
On Sun, 13 Feb 2005 13:40:06 +0000, WinTerMiNator wrote:
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml"
mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un
script, qu'il soit javascript ou VBS, ou une applet.
Et il n'y aurait pas deux/trois débordements de buffer qui trainent dans
"Richedit32" ? Ca ferait un bon vecteur d'attaque ;-)
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte
brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et
donc les risques, non ?
On Sun, 13 Feb 2005 13:40:06 +0000, WinTerMiNator wrote:
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml" mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un script, qu'il soit javascript ou VBS, ou une applet.
Et il n'y aurait pas deux/trois débordements de buffer qui trainent dans "Richedit32" ? Ca ferait un bon vecteur d'attaque ;-)
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et donc les risques, non ?
Nicob
Cedric Blancher
Le Sun, 13 Feb 2005 13:52:19 +0000, Nicob a écrit :
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et donc les risques, non ?
Même sans aller jusqu'à ce type de trous dans le parser, l'affichage HTML (quelque soit le lecteur) peut donner lieu à une foultitude de problèmes, en particulier tout ce qui va tourner autour des XSS, et qui ne sont pas forcément tous liés au lecteur de messagerie. Le courrier en HTML me semble accentuer de manière très importante les menaces qui vise directement l'élément assurant la liaison chaise-clavier.
-- «Tiens, quand j'aurai un peu de temps et une partition libre, je crois que je vais essayer de remplacer mes scripts de démarrage par des programmes Windows lancés via Wine et binfmt_misc :-)» -+- AGV in Guide du linuxien pervers - "J'sais pas quoi faire... (air connu)"
Le Sun, 13 Feb 2005 13:52:19 +0000, Nicob a écrit :
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte
brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et
donc les risques, non ?
Même sans aller jusqu'à ce type de trous dans le parser, l'affichage
HTML (quelque soit le lecteur) peut donner lieu à une foultitude de
problèmes, en particulier tout ce qui va tourner autour des XSS, et qui
ne sont pas forcément tous liés au lecteur de messagerie. Le courrier en
HTML me semble accentuer de manière très importante les menaces qui
vise directement l'élément assurant la liaison chaise-clavier.
--
«Tiens, quand j'aurai un peu de temps et une partition libre, je crois
que je vais essayer de remplacer mes scripts de démarrage par des
programmes Windows lancés via Wine et binfmt_misc :-)»
-+- AGV in Guide du linuxien pervers - "J'sais pas quoi faire... (air connu)"
Le Sun, 13 Feb 2005 13:52:19 +0000, Nicob a écrit :
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et donc les risques, non ?
Même sans aller jusqu'à ce type de trous dans le parser, l'affichage HTML (quelque soit le lecteur) peut donner lieu à une foultitude de problèmes, en particulier tout ce qui va tourner autour des XSS, et qui ne sont pas forcément tous liés au lecteur de messagerie. Le courrier en HTML me semble accentuer de manière très importante les menaces qui vise directement l'élément assurant la liaison chaise-clavier.
-- «Tiens, quand j'aurai un peu de temps et une partition libre, je crois que je vais essayer de remplacer mes scripts de démarrage par des programmes Windows lancés via Wine et binfmt_misc :-)» -+- AGV in Guide du linuxien pervers - "J'sais pas quoi faire... (air connu)"
WinTerMiNator
"Nicob" a écrit dans le message de news:
On Sun, 13 Feb 2005 13:40:06 +0000, WinTerMiNator wrote:
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml" mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un script, qu'il soit javascript ou VBS, ou une applet.
Et il n'y aurait pas deux/trois débordements de buffer qui trainent dans "Richedit32" ? Ca ferait un bon vecteur d'attaque ;-)
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et donc les risques, non ?
Nicob
Richedit32 est le contrôle utilisé pour afficher des textes enrichis (RTF, HTML...) dans Windows et est utilisé par des dizaines de programmes (souvent sans qu'ils le sachent...).
Quant à supposer l'existence de buffers overflows, là ou ailleurs, dans Windows ou Linux...
Sachant que OE 6.0 SP2 est par défaut dans la zone de sécurité sites sensibles (où java et active scripting sont désactivés) et qu'en plus son module d'affichage ne sait pas utiliser l'interpréteur de script, on peut penser que le plus gros risque en matière de sécurité lors de l'affichage d'un message en html est sans doute l'explosion du moniteur à tube à rayons cathodiques. Dans ce cas là, par mesure de prévention, mieux vaut s'offrir un écran LCD!
Mais bon, pour les "fossiles" ;-) on doit encore trouver deux ou trois clients de courrier bien chiants, fonctionnant en mode ligne de commande et n'affichant que du texte! Et même sous Windows!
-- Michel Nallino aka WinTerMiNator http://www.winterminator.fr.st (Internet et sécurité) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
"Nicob" <nicob@I.hate.spammers.com> a écrit dans le message de news:
pan.2005.02.13.13.51.54.257173@I.hate.spammers.com...
On Sun, 13 Feb 2005 13:40:06 +0000, WinTerMiNator wrote:
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml"
mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un
script, qu'il soit javascript ou VBS, ou une applet.
Et il n'y aurait pas deux/trois débordements de buffer qui trainent dans
"Richedit32" ? Ca ferait un bon vecteur d'attaque ;-)
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte
brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et
donc les risques, non ?
Nicob
Richedit32 est le contrôle utilisé pour afficher des textes enrichis (RTF,
HTML...) dans Windows et est utilisé par des dizaines de programmes (souvent
sans qu'ils le sachent...).
Quant à supposer l'existence de buffers overflows, là ou ailleurs, dans
Windows ou Linux...
Sachant que OE 6.0 SP2 est par défaut dans la zone de sécurité sites
sensibles (où java et active scripting sont désactivés) et qu'en plus son
module d'affichage ne sait pas utiliser l'interpréteur de script, on peut
penser que le plus gros risque en matière de sécurité lors de l'affichage
d'un message en html est sans doute l'explosion du moniteur à tube à rayons
cathodiques. Dans ce cas là, par mesure de prévention, mieux vaut s'offrir
un écran LCD!
Mais bon, pour les "fossiles" ;-) on doit encore trouver deux ou trois
clients de courrier bien chiants, fonctionnant en mode ligne de commande et
n'affichant que du texte! Et même sous Windows!
--
Michel Nallino aka WinTerMiNator
http://www.winterminator.fr.st (Internet et sécurité)
http://www.gnupgwin.fr.st (GnuPG pour Windows)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG
On Sun, 13 Feb 2005 13:40:06 +0000, WinTerMiNator wrote:
La version d'OE qui accompagne XP SP2 n'utilise plus le contrôle "mshtml" mais le contrôle "Richedit32". Du coup, OE est incapable d'exécuter un script, qu'il soit javascript ou VBS, ou une applet.
Et il n'y aurait pas deux/trois débordements de buffer qui trainent dans "Richedit32" ? Ca ferait un bon vecteur d'attaque ;-)
Plus sérieusement, c'est quand même pas plus sûr d'afficher du texte brut ? L'ajout d'un parser (ici "Richedit32") augmente la complexité, et donc les risques, non ?
Nicob
Richedit32 est le contrôle utilisé pour afficher des textes enrichis (RTF, HTML...) dans Windows et est utilisé par des dizaines de programmes (souvent sans qu'ils le sachent...).
Quant à supposer l'existence de buffers overflows, là ou ailleurs, dans Windows ou Linux...
Sachant que OE 6.0 SP2 est par défaut dans la zone de sécurité sites sensibles (où java et active scripting sont désactivés) et qu'en plus son module d'affichage ne sait pas utiliser l'interpréteur de script, on peut penser que le plus gros risque en matière de sécurité lors de l'affichage d'un message en html est sans doute l'explosion du moniteur à tube à rayons cathodiques. Dans ce cas là, par mesure de prévention, mieux vaut s'offrir un écran LCD!
Mais bon, pour les "fossiles" ;-) on doit encore trouver deux ou trois clients de courrier bien chiants, fonctionnant en mode ligne de commande et n'affichant que du texte! Et même sous Windows!
-- Michel Nallino aka WinTerMiNator http://www.winterminator.fr.st (Internet et sécurité) http://www.gnupgwin.fr.st (GnuPG pour Windows) Adresse e-mail invalide; pour me contacter: http://www.cerbermail.com/?vdU5HHs5WG
