Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Hervé Riboulot
Le Fri, 20 Feb 2004 19:54:50 -0500, a écrit :
Salut à tous
Comment faire un téléchargement en root a partir d'un site web.
Je veux téléchargé le calendrier pour mozilla 1.4 sous mandrake 9.2, tous se passe bien mais me refuse le téléchargement automatique.
Je ne comprends pas bien la question ('il me refuse le télé chargement automatique ...').
J'interprète le pb comme étant lié à des droits (exécution d'un fichier xpi non autorisée par exemple, car le télé chargement a été lancée avec des droits inappropriés).
La solution dès lors:
* ouvrir une console * taper su puis, à l'invitation, saisir le mot de passe root * lancer alors mozilla&
(L'environnement du user sous lequel la console a été ouverte sera préservé. Le fichier xpi sera exécuté et le calendrier -si c'est bien le cas- sera installé pour ce user.)
merci.
Hummm. Si ça marche en tout cas.
Le Fri, 20 Feb 2004 19:54:50 -0500, Jvch@rles a écrit :
Salut à tous
Comment faire un téléchargement en root a partir d'un site web.
Je veux téléchargé le calendrier pour mozilla 1.4 sous mandrake 9.2,
tous se passe bien mais me refuse le téléchargement automatique.
Jvch@rles
Je ne comprends pas bien la question ('il me refuse le télé chargement
automatique ...').
J'interprète le pb comme étant lié à des droits (exécution d'un
fichier xpi non autorisée par exemple, car le télé chargement a été
lancée avec des droits inappropriés).
La solution dès lors:
* ouvrir une console
* taper su puis, à l'invitation, saisir le mot de passe root
* lancer alors mozilla&
(L'environnement du user sous lequel la console a été ouverte sera
préservé. Le fichier xpi sera exécuté et le calendrier -si c'est bien
le cas- sera installé pour ce user.)
Comment faire un téléchargement en root a partir d'un site web.
Je veux téléchargé le calendrier pour mozilla 1.4 sous mandrake 9.2, tous se passe bien mais me refuse le téléchargement automatique.
Je ne comprends pas bien la question ('il me refuse le télé chargement automatique ...').
J'interprète le pb comme étant lié à des droits (exécution d'un fichier xpi non autorisée par exemple, car le télé chargement a été lancée avec des droits inappropriés).
La solution dès lors:
* ouvrir une console * taper su puis, à l'invitation, saisir le mot de passe root * lancer alors mozilla&
(L'environnement du user sous lequel la console a été ouverte sera préservé. Le fichier xpi sera exécuté et le calendrier -si c'est bien le cas- sera installé pour ce user.)
merci.
Hummm. Si ça marche en tout cas.
Jvch
Salut à tous
Comment faire un téléchargement en root a partir d'un site web.
Je veux téléchargé le calendrier pour mozilla 1.4 sous mandrake 9.2, tous se passe bien mais me refuse le téléchargement automatique.
Je ne comprends pas bien la question ('il me refuse le télé chargement automatique ...').
oui à la façon windows
J'interprète le pb comme étant lié à des droits (exécution d'un fichier xpi non autorisée par exemple, car le télé chargement a été lancée avec des droits inappropriés).
La solution dès lors:
* ouvrir une console * taper su puis, à l'invitation, saisir le mot de passe root * lancer alors mozilla&
(L'environnement du user sous lequel la console a été ouverte sera préservé. Le fichier xpi sera exécuté et le calendrier -si c'est bien le cas- sera installé pour ce user.)
Hummm. Si ça marche en tout cas.
Éh bien non sa ne fonctionne pas, c'est écrit (Error code-215) et la seconde fenêtre (En lecture seulement).
J'ai essayé autre chose, j'ai quitté et revenir avec le pseudo (root avec le mot de passe root), l'écran étais toute rouge avec un avertissement mais pour le reste c'étais comme à la normal, alors j'ai téléchargé sur mozilla le calendrier pour la version 1.4 et oooouuupppssss, tous fonctionne, mais le calendrier n'est pas encore en version final et pas trop fonctionnel.
Salut à tous
Comment faire un téléchargement en root a partir d'un site web.
Je veux téléchargé le calendrier pour mozilla 1.4 sous mandrake 9.2,
tous se passe bien mais me refuse le téléchargement automatique.
Jvch@rles
Je ne comprends pas bien la question ('il me refuse le télé chargement
automatique ...').
oui à la façon windows
J'interprète le pb comme étant lié à des droits (exécution d'un
fichier xpi non autorisée par exemple, car le télé chargement a été
lancée avec des droits inappropriés).
La solution dès lors:
* ouvrir une console
* taper su puis, à l'invitation, saisir le mot de passe root
* lancer alors mozilla&
(L'environnement du user sous lequel la console a été ouverte sera
préservé. Le fichier xpi sera exécuté et le calendrier -si c'est bien
le cas- sera installé pour ce user.)
Hummm. Si ça marche en tout cas.
Éh bien non sa ne fonctionne pas, c'est écrit (Error code-215) et la
seconde fenêtre (En lecture seulement).
J'ai essayé autre chose, j'ai quitté et revenir avec le pseudo (root
avec le mot de passe root), l'écran étais toute rouge avec un
avertissement mais pour le reste c'étais comme à la normal, alors j'ai
téléchargé sur mozilla le calendrier pour la version 1.4 et
oooouuupppssss, tous fonctionne, mais le calendrier n'est pas encore en
version final et pas trop fonctionnel.
Comment faire un téléchargement en root a partir d'un site web.
Je veux téléchargé le calendrier pour mozilla 1.4 sous mandrake 9.2, tous se passe bien mais me refuse le téléchargement automatique.
Je ne comprends pas bien la question ('il me refuse le télé chargement automatique ...').
oui à la façon windows
J'interprète le pb comme étant lié à des droits (exécution d'un fichier xpi non autorisée par exemple, car le télé chargement a été lancée avec des droits inappropriés).
La solution dès lors:
* ouvrir une console * taper su puis, à l'invitation, saisir le mot de passe root * lancer alors mozilla&
(L'environnement du user sous lequel la console a été ouverte sera préservé. Le fichier xpi sera exécuté et le calendrier -si c'est bien le cas- sera installé pour ce user.)
Hummm. Si ça marche en tout cas.
Éh bien non sa ne fonctionne pas, c'est écrit (Error code-215) et la seconde fenêtre (En lecture seulement).
J'ai essayé autre chose, j'ai quitté et revenir avec le pseudo (root avec le mot de passe root), l'écran étais toute rouge avec un avertissement mais pour le reste c'étais comme à la normal, alors j'ai téléchargé sur mozilla le calendrier pour la version 1.4 et oooouuupppssss, tous fonctionne, mais le calendrier n'est pas encore en version final et pas trop fonctionnel.
Jérémy JUST
On Fri, 20 Feb 2004 19:54:50 -0500 "" wrote:
Comment faire un téléchargement en root a partir d'un site web.
Si tu veux vraiment télécharger en root, je te conseille d'utiliser wget plutôt qu'un navigateur complet (qui est dangereux). Mais en général, il vaut mieux télécharger en simple utilisateur, puis passer root si nécessaire pour utiliser les fichiers ainsi obtenus.
-- Jérémy JUST
On Fri, 20 Feb 2004 19:54:50 -0500
"Jvch@rles" <c.leclercANTI@SPAMb2b2c.ca> wrote:
Comment faire un téléchargement en root a partir d'un site web.
Si tu veux vraiment télécharger en root, je te conseille d'utiliser wget
plutôt qu'un navigateur complet (qui est dangereux).
Mais en général, il vaut mieux télécharger en simple utilisateur, puis
passer root si nécessaire pour utiliser les fichiers ainsi obtenus.
Comment faire un téléchargement en root a partir d'un site web.
Si tu veux vraiment télécharger en root, je te conseille d'utiliser wget plutôt qu'un navigateur complet (qui est dangereux). Mais en général, il vaut mieux télécharger en simple utilisateur, puis passer root si nécessaire pour utiliser les fichiers ainsi obtenus.
-- Jérémy JUST
Jvch
On Fri, 20 Feb 2004 19:54:50 -0500 "" wrote:
Comment faire un téléchargement en root a partir d'un site web.
Si tu veux vraiment télécharger en root, je te conseille d'utiliser wget plutôt qu'un navigateur complet (qui est dangereux). Mais en général, il vaut mieux télécharger en simple utilisateur, puis passer root si nécessaire pour utiliser les fichiers ainsi obtenus.
Salut
Si je le télécharge pour après l'installé en root ou je le télécharge directement sur le pseudo root juste pour le temps du téléchargement, c'est quoi la différence sur un site de confiance ?
On Fri, 20 Feb 2004 19:54:50 -0500
"Jvch@rles" <c.leclercANTI@SPAMb2b2c.ca> wrote:
Comment faire un téléchargement en root a partir d'un site web.
Si tu veux vraiment télécharger en root, je te conseille d'utiliser wget
plutôt qu'un navigateur complet (qui est dangereux).
Mais en général, il vaut mieux télécharger en simple utilisateur, puis
passer root si nécessaire pour utiliser les fichiers ainsi obtenus.
Salut
Si je le télécharge pour après l'installé en root ou je le télécharge
directement sur le pseudo root juste pour le temps du téléchargement,
c'est quoi la différence sur un site de confiance ?
Comment faire un téléchargement en root a partir d'un site web.
Si tu veux vraiment télécharger en root, je te conseille d'utiliser wget plutôt qu'un navigateur complet (qui est dangereux). Mais en général, il vaut mieux télécharger en simple utilisateur, puis passer root si nécessaire pour utiliser les fichiers ainsi obtenus.
Salut
Si je le télécharge pour après l'installé en root ou je le télécharge directement sur le pseudo root juste pour le temps du téléchargement, c'est quoi la différence sur un site de confiance ?
Jérémy JUST
On Sat, 21 Feb 2004 19:23:07 -0500 "" wrote:
Si je le télécharge pour après l'installé en root ou je le télécharge directement sur le pseudo root juste pour le temps du téléchargement, c'est quoi la différence sur un site de confiance ?
Tu abordes là deux sujets distincts: « quel est le risque à télécharger en root? » et « existe-t-il des sites de confiance? »
Pour la première question, la réponse est purement technique: lors d'un téléchargement, tu interprètes des données qui viennent de l'extérieur, donc tu dois t'en méfier. Quand tu utilises un navigateur complexe, comme Mozilla, il est capable de faire plein de choses en fonction de ce qu'il reçoit: il interprète le HTML, il exécute le JavaScript, il passe certaines informations à des plugins... Il suffit que son interpréteur de HTML ait une faille pour permettre à un serveur attaquant d'exécuter du code sur ta machine, sous le nom de l'utilisateur courant.
Je ne sais pas si le cas s'est présenté avec des navigateurs web, mais par contre, on a vu des cas similaires (attaque via des langages d'apparence inoffensive) récemment dans Ghostscript (un document PostScript soigneusement écrit pouvait faire exécuter du code) et dans Sylpheed (une réponse malicieuse par un serveur SMTP pouvait faire planter Sylpheed). Il faut bien se rendre compte que sur un réseau, les clients sont aussi exposés que les serveurs.
En utilisant un outil aussi complexe que Mozilla, tu maximises le risque! Avec `wget', tu as moins de chances de tomber sur une grosse faille, parce que l'outil est plus simple.
Pour la notion de site de confiance, mon avis personnel est que ça n'existe pas. C'est une notion très marketing, promue par de grosses boîtes qui ont tout intérêt à ce que leurs utilisateurs/clients leur fasse confiance. On peut faire confiance à une personne physique ou morale (j'ai confiance dans l'équipe de développement de Mandrake ou Debian...), sur des critères qui n'engagent que soi. Par contre, il me semble impossible de faire confiance à un site internet. Tout simplement parce que la plupart des gros serveurs web se sont fait attaquer avec succès un jour ou l'autre. Certains le disent honnêtement (Debian, par exemple), d'autres non.
Pour restaurer la chaîne de confiance entre les développeurs et toi, il faut passer par un autre moyen qu'une URL. C'est pour ça qu'on utilise les signatures GPG: tu télécharges un fichier, puis tu vérifies qu'il vient bien de la personne dont il est censé venir, et à qui tu fais confiance.
Pour faire le lien entre tes deux questions, pour ce qui est du protocole de communication avec les serveurs, tu n'as pas de moyen de savoir si la réponse à ta requête sera inoffensive ou hostile. Dans le doute, évite de prendre trop de risques: télécharge en tant que simple utilisateur, ou au pire, utilise un outil simple.
Voilà. Désolé d'avoir été un peu long. Je suis preneur de toute critique.
Si tu veux plus de renseignements sur ces choses, essaie fr.comp.securite. Les gens calés sont là-bas.
-- Jérémy JUST
On Sat, 21 Feb 2004 19:23:07 -0500
"Jvch@rles" <c.leclercANTI@SPAMb2b2c.ca> wrote:
Si je le télécharge pour après l'installé en root ou je le télécharge
directement sur le pseudo root juste pour le temps du téléchargement,
c'est quoi la différence sur un site de confiance ?
Tu abordes là deux sujets distincts: « quel est le risque à télécharger
en root? » et « existe-t-il des sites de confiance? »
Pour la première question, la réponse est purement technique: lors d'un
téléchargement, tu interprètes des données qui viennent de l'extérieur,
donc tu dois t'en méfier.
Quand tu utilises un navigateur complexe, comme Mozilla, il est capable
de faire plein de choses en fonction de ce qu'il reçoit: il interprète le
HTML, il exécute le JavaScript, il passe certaines informations à des
plugins... Il suffit que son interpréteur de HTML ait une faille pour
permettre à un serveur attaquant d'exécuter du code sur ta machine, sous
le nom de l'utilisateur courant.
Je ne sais pas si le cas s'est présenté avec des navigateurs web, mais
par contre, on a vu des cas similaires (attaque via des langages
d'apparence inoffensive) récemment dans Ghostscript (un document
PostScript soigneusement écrit pouvait faire exécuter du code) et dans
Sylpheed (une réponse malicieuse par un serveur SMTP pouvait faire planter
Sylpheed).
Il faut bien se rendre compte que sur un réseau, les clients sont aussi
exposés que les serveurs.
En utilisant un outil aussi complexe que Mozilla, tu maximises le
risque! Avec `wget', tu as moins de chances de tomber sur une grosse
faille, parce que l'outil est plus simple.
Pour la notion de site de confiance, mon avis personnel est que ça
n'existe pas. C'est une notion très marketing, promue par de grosses
boîtes qui ont tout intérêt à ce que leurs utilisateurs/clients leur fasse
confiance.
On peut faire confiance à une personne physique ou morale (j'ai
confiance dans l'équipe de développement de Mandrake ou Debian...), sur
des critères qui n'engagent que soi.
Par contre, il me semble impossible de faire confiance à un site
internet. Tout simplement parce que la plupart des gros serveurs web se
sont fait attaquer avec succès un jour ou l'autre. Certains le disent
honnêtement (Debian, par exemple), d'autres non.
Pour restaurer la chaîne de confiance entre les développeurs et toi, il
faut passer par un autre moyen qu'une URL. C'est pour ça qu'on utilise les
signatures GPG: tu télécharges un fichier, puis tu vérifies qu'il vient
bien de la personne dont il est censé venir, et à qui tu fais confiance.
Pour faire le lien entre tes deux questions, pour ce qui est du
protocole de communication avec les serveurs, tu n'as pas de moyen de
savoir si la réponse à ta requête sera inoffensive ou hostile. Dans le
doute, évite de prendre trop de risques: télécharge en tant que simple
utilisateur, ou au pire, utilise un outil simple.
Voilà. Désolé d'avoir été un peu long.
Je suis preneur de toute critique.
Si tu veux plus de renseignements sur ces choses, essaie
fr.comp.securite. Les gens calés sont là-bas.
Si je le télécharge pour après l'installé en root ou je le télécharge directement sur le pseudo root juste pour le temps du téléchargement, c'est quoi la différence sur un site de confiance ?
Tu abordes là deux sujets distincts: « quel est le risque à télécharger en root? » et « existe-t-il des sites de confiance? »
Pour la première question, la réponse est purement technique: lors d'un téléchargement, tu interprètes des données qui viennent de l'extérieur, donc tu dois t'en méfier. Quand tu utilises un navigateur complexe, comme Mozilla, il est capable de faire plein de choses en fonction de ce qu'il reçoit: il interprète le HTML, il exécute le JavaScript, il passe certaines informations à des plugins... Il suffit que son interpréteur de HTML ait une faille pour permettre à un serveur attaquant d'exécuter du code sur ta machine, sous le nom de l'utilisateur courant.
Je ne sais pas si le cas s'est présenté avec des navigateurs web, mais par contre, on a vu des cas similaires (attaque via des langages d'apparence inoffensive) récemment dans Ghostscript (un document PostScript soigneusement écrit pouvait faire exécuter du code) et dans Sylpheed (une réponse malicieuse par un serveur SMTP pouvait faire planter Sylpheed). Il faut bien se rendre compte que sur un réseau, les clients sont aussi exposés que les serveurs.
En utilisant un outil aussi complexe que Mozilla, tu maximises le risque! Avec `wget', tu as moins de chances de tomber sur une grosse faille, parce que l'outil est plus simple.
Pour la notion de site de confiance, mon avis personnel est que ça n'existe pas. C'est une notion très marketing, promue par de grosses boîtes qui ont tout intérêt à ce que leurs utilisateurs/clients leur fasse confiance. On peut faire confiance à une personne physique ou morale (j'ai confiance dans l'équipe de développement de Mandrake ou Debian...), sur des critères qui n'engagent que soi. Par contre, il me semble impossible de faire confiance à un site internet. Tout simplement parce que la plupart des gros serveurs web se sont fait attaquer avec succès un jour ou l'autre. Certains le disent honnêtement (Debian, par exemple), d'autres non.
Pour restaurer la chaîne de confiance entre les développeurs et toi, il faut passer par un autre moyen qu'une URL. C'est pour ça qu'on utilise les signatures GPG: tu télécharges un fichier, puis tu vérifies qu'il vient bien de la personne dont il est censé venir, et à qui tu fais confiance.
Pour faire le lien entre tes deux questions, pour ce qui est du protocole de communication avec les serveurs, tu n'as pas de moyen de savoir si la réponse à ta requête sera inoffensive ou hostile. Dans le doute, évite de prendre trop de risques: télécharge en tant que simple utilisateur, ou au pire, utilise un outil simple.
Voilà. Désolé d'avoir été un peu long. Je suis preneur de toute critique.
Si tu veux plus de renseignements sur ces choses, essaie fr.comp.securite. Les gens calés sont là-bas.
-- Jérémy JUST
Wolfgang Theurer
Jérémy JUST writes:
Je suis preneur de toute critique.
De mon point de vue ton annalyse est bonne. J'en rajouterais même un petite couche sur root: root ne doit faire que ce qu'il est _le seul_ à pouvoir faire. Le téléchargement est typique une charge qui incombe à un utilisateur non privilégié. Lancer mozilla ou assimilé avec les droits root c'est suicidaire, sans meme parler securité au sens piratage, vu la stabilité de ce genre de logiciels mieux vaut ne pas lui donner plus de pouvoir que necessaire.
Pour résumer: l'utilisateur non privilegié prépare tout les terrain puis _ensuite_ on effectue les opérations qui nessecite les droit root à l'aide d'un petit su ou sudo.
-- When you have to shoot, shoot. Don't talk Tuco (The Ugly)
Jérémy JUST <jeremy_just@netcourrier.com> writes:
Je suis preneur de toute critique.
De mon point de vue ton annalyse est bonne. J'en rajouterais
même un petite couche sur root:
root ne doit faire que ce qu'il est _le seul_ à pouvoir faire.
Le téléchargement est typique une charge qui incombe à un
utilisateur non privilégié. Lancer mozilla ou assimilé avec
les droits root c'est suicidaire, sans meme parler securité au
sens piratage, vu la stabilité de ce genre de logiciels mieux
vaut ne pas lui donner plus de pouvoir que necessaire.
Pour résumer:
l'utilisateur non privilegié prépare tout les terrain puis
_ensuite_ on effectue les opérations qui nessecite les droit
root à l'aide d'un petit su ou sudo.
--
When you have to shoot, shoot. Don't talk
Tuco (The Ugly)
De mon point de vue ton annalyse est bonne. J'en rajouterais même un petite couche sur root: root ne doit faire que ce qu'il est _le seul_ à pouvoir faire. Le téléchargement est typique une charge qui incombe à un utilisateur non privilégié. Lancer mozilla ou assimilé avec les droits root c'est suicidaire, sans meme parler securité au sens piratage, vu la stabilité de ce genre de logiciels mieux vaut ne pas lui donner plus de pouvoir que necessaire.
Pour résumer: l'utilisateur non privilegié prépare tout les terrain puis _ensuite_ on effectue les opérations qui nessecite les droit root à l'aide d'un petit su ou sudo.
-- When you have to shoot, shoot. Don't talk Tuco (The Ugly)
