Je cherche à contacter Wanadoo concernant un problème de sécurité sur leur
portail. Est-ce que quelqu'un connaîtrait l'adresse à utiliser pour
signaler ce genre de problème ?
Personnellement, la quasi-totalité des failles que je découvre et remonte ne deviennent jamais publiques. Et si je mets un journal en copie,
ce n'est clairement pas pour qu'il fasse du beurre là dessus.
Il faudrait arrêter avec vos histoires de "faire du beurre" surtout quand on connait les comptes des magazines spécialisés. Je vais d'ailleur rappeler un exemple qui démontre le contraire de ce que vous aimeriez faire croire : un jour vous m'avez demandé publiquement de faire l'intermédiaire dans la résolution d'une faille sur le site de NAI. Je ne vous ai pas demandé d'argent, je n'en ai pas demandé à NAI non plus et je n'ai tiré aucun article de cette affaire. Bref aucun bénéfice. Je l'ai fait parce que je n'aime pas qu'une faille reste béante et que je me sentais donc obligé d'aider, tout simplement. Des passionnés qui auraient fait pareils, il y en a aussi parmis les concurrents.
- ne pas écrire depuis un compte email pro (ne pas engager son employeur)
A l'heure de la LEN, à quel titre vous cherchez des failles sur des serveurs tiers si ce n'est pas d'un professionnel vers son client ?
- demander un accusé de réception du message [...]
je n'ai toujours pas eu de réponse,
Il faudrait déjà être certain que le mail arrive. Avec les outils antispams foireux ce n'est pas garanti. Le téléphone existe encore, et c'est souvent plus efficace niveau délais. Au pire le courrier recommandé.
-- Olivier Aichelbaum
Nicob wrote:
Personnellement, la quasi-totalité des failles que je découvre et
remonte ne deviennent jamais publiques. Et si je mets un journal en
copie,
ce n'est clairement pas pour qu'il fasse du beurre là dessus.
Il faudrait arrêter avec vos histoires de "faire du beurre" surtout
quand on connait les comptes des magazines spécialisés. Je vais
d'ailleur rappeler un exemple qui démontre le contraire de ce que
vous aimeriez faire croire : un jour vous m'avez demandé publiquement
de faire l'intermédiaire dans la résolution d'une faille sur le site
de NAI. Je ne vous ai pas demandé d'argent, je n'en ai pas demandé
à NAI non plus et je n'ai tiré aucun article de cette affaire. Bref
aucun bénéfice. Je l'ai fait parce que je n'aime pas qu'une faille
reste béante et que je me sentais donc obligé d'aider, tout simplement.
Des passionnés qui auraient fait pareils, il y en a aussi parmis
les concurrents.
- ne pas écrire depuis un compte email pro (ne pas engager son employeur)
A l'heure de la LEN, à quel titre vous cherchez des failles sur des
serveurs tiers si ce n'est pas d'un professionnel vers son client ?
- demander un accusé de réception du message
[...]
je n'ai toujours pas eu de réponse,
Il faudrait déjà être certain que le mail arrive. Avec les outils
antispams foireux ce n'est pas garanti. Le téléphone existe encore,
et c'est souvent plus efficace niveau délais. Au pire le courrier
recommandé.
Personnellement, la quasi-totalité des failles que je découvre et remonte ne deviennent jamais publiques. Et si je mets un journal en copie,
ce n'est clairement pas pour qu'il fasse du beurre là dessus.
Il faudrait arrêter avec vos histoires de "faire du beurre" surtout quand on connait les comptes des magazines spécialisés. Je vais d'ailleur rappeler un exemple qui démontre le contraire de ce que vous aimeriez faire croire : un jour vous m'avez demandé publiquement de faire l'intermédiaire dans la résolution d'une faille sur le site de NAI. Je ne vous ai pas demandé d'argent, je n'en ai pas demandé à NAI non plus et je n'ai tiré aucun article de cette affaire. Bref aucun bénéfice. Je l'ai fait parce que je n'aime pas qu'une faille reste béante et que je me sentais donc obligé d'aider, tout simplement. Des passionnés qui auraient fait pareils, il y en a aussi parmis les concurrents.
- ne pas écrire depuis un compte email pro (ne pas engager son employeur)
A l'heure de la LEN, à quel titre vous cherchez des failles sur des serveurs tiers si ce n'est pas d'un professionnel vers son client ?
- demander un accusé de réception du message [...]
je n'ai toujours pas eu de réponse,
Il faudrait déjà être certain que le mail arrive. Avec les outils antispams foireux ce n'est pas garanti. Le téléphone existe encore, et c'est souvent plus efficace niveau délais. Au pire le courrier recommandé.
A l'heure de la LEN, à quel titre vous cherchez des failles sur des serveurs tiers si ce n'est pas d'un professionnel vers son client ?
Au titre d'un client qui cherche à évaluer un peut-être futur fournisseur ? La LEN ne le prévoit pas ! Dommage...
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Nicob
On Tue, 20 Sep 2005 23:13:43 +0000, Olivier Aichelbaum wrote:
Il faudrait arrêter avec vos histoires de "faire du beurre" surtout quand on connait les comptes des magazines spécialisés.
Je ne connais pas les comptes des magazines spécialisés, mais je constate bel et bien que quand ces magazines publient des failles (XSS sur les sites bancaires, répondeur virtuel FT, Carte Vitale, ...), c'est clairement annoncé en couverture. Mais je suis sans doute stupide et cela n'a donc aucun rapport avec l'utilisation de *ces* articles là pour attirer le chaland, et donc faire du beurre.
A l'heure de la LEN, à quel titre vous cherchez des failles sur des serveurs tiers si ce n'est pas d'un professionnel vers son client ?
Tiens donc, il est désormais impossible de trouver des failles sans s'attaquer à un serveur tiers ? Et l'analyse de code-source librement accessible ? Et la lecture de la doc ? Et les pages bookmarkées qui cassent le flot de navigation prévu par l'application ? Et les noms d'utilisateur comportant une quote et crashant l'appli ? Et la volonté de browser tel site en anglais en mettant "&lng=US" dans l'URL ? Et l'utilisation du bouton "Back" permettant de bypasser des checks anti-automatisation ?
Votre constance à chercher à me faire passer pour un bad boy est touchante ...
Nicob
On Tue, 20 Sep 2005 23:13:43 +0000, Olivier Aichelbaum wrote:
Il faudrait arrêter avec vos histoires de "faire du beurre" surtout
quand on connait les comptes des magazines spécialisés.
Je ne connais pas les comptes des magazines spécialisés, mais je
constate bel et bien que quand ces magazines publient des failles (XSS sur
les sites bancaires, répondeur virtuel FT, Carte Vitale, ...), c'est
clairement annoncé en couverture. Mais je suis sans doute stupide et cela
n'a donc aucun rapport avec l'utilisation de *ces* articles là pour
attirer le chaland, et donc faire du beurre.
A l'heure de la LEN, à quel titre vous cherchez des failles sur des
serveurs tiers si ce n'est pas d'un professionnel vers son client ?
Tiens donc, il est désormais impossible de trouver des failles sans
s'attaquer à un serveur tiers ? Et l'analyse de code-source librement
accessible ? Et la lecture de la doc ? Et les pages bookmarkées qui
cassent le flot de navigation prévu par l'application ? Et les noms
d'utilisateur comportant une quote et crashant l'appli ? Et la volonté de
browser tel site en anglais en mettant "&lng=US" dans l'URL ? Et
l'utilisation du bouton "Back" permettant de bypasser des checks
anti-automatisation ?
Votre constance à chercher à me faire passer pour un bad boy est
touchante ...
On Tue, 20 Sep 2005 23:13:43 +0000, Olivier Aichelbaum wrote:
Il faudrait arrêter avec vos histoires de "faire du beurre" surtout quand on connait les comptes des magazines spécialisés.
Je ne connais pas les comptes des magazines spécialisés, mais je constate bel et bien que quand ces magazines publient des failles (XSS sur les sites bancaires, répondeur virtuel FT, Carte Vitale, ...), c'est clairement annoncé en couverture. Mais je suis sans doute stupide et cela n'a donc aucun rapport avec l'utilisation de *ces* articles là pour attirer le chaland, et donc faire du beurre.
A l'heure de la LEN, à quel titre vous cherchez des failles sur des serveurs tiers si ce n'est pas d'un professionnel vers son client ?
Tiens donc, il est désormais impossible de trouver des failles sans s'attaquer à un serveur tiers ? Et l'analyse de code-source librement accessible ? Et la lecture de la doc ? Et les pages bookmarkées qui cassent le flot de navigation prévu par l'application ? Et les noms d'utilisateur comportant une quote et crashant l'appli ? Et la volonté de browser tel site en anglais en mettant "&lng=US" dans l'URL ? Et l'utilisation du bouton "Back" permettant de bypasser des checks anti-automatisation ?
Votre constance à chercher à me faire passer pour un bad boy est touchante ...
Nicob
Olivier Aichelbaum
Fabien LE LEZ wrote:
On 06 Aug 2005 11:02:13 GMT, kifran :
[Quel] genre de probleme de secu ?
Imaginons un instant que l'OP te réponde ici, et qu'un responsable de Wanadoo tombe là-dessus. Il y a de fortes chances pour que Wanadoo lui colle un procès (et ne répare pas la faille). Note que ce n'est pas particulier à Wanadoo, c'est valable pour la plupart des entreprises qui ont les moyens de se payer un service juridique.
Je n'ai jamais eu de problèmes avec une entreprise en lui remontant une faille. En fait, la seule fois où j'ai eu un problème mais ça venait de la personne qui m'avait _publiquement_ demandé mon aide : elle m'a par la suite accusé de l'avoir - je cite - "balancer".
Cette personne étant proche de certains modérateurs, ceux-ci exigent que je censure son nom si je veux que ce message soit publié.
-- Olivier Aichelbaum
Fabien LE LEZ wrote:
On 06 Aug 2005 11:02:13 GMT, kifran <nospam@nospam.com>:
[Quel] genre de probleme de secu ?
Imaginons un instant que l'OP te réponde ici, et qu'un responsable de
Wanadoo tombe là-dessus.
Il y a de fortes chances pour que Wanadoo lui colle un procès (et ne
répare pas la faille). Note que ce n'est pas particulier à Wanadoo,
c'est valable pour la plupart des entreprises qui ont les moyens de se
payer un service juridique.
Je n'ai jamais eu de problèmes avec une entreprise en lui remontant
une faille. En fait, la seule fois où j'ai eu un problème mais ça
venait de la personne qui m'avait _publiquement_ demandé mon aide :
elle m'a par la suite accusé de l'avoir - je cite - "balancer".
Cette personne étant proche de certains modérateurs, ceux-ci exigent
que je censure son nom si je veux que ce message soit publié.
Imaginons un instant que l'OP te réponde ici, et qu'un responsable de Wanadoo tombe là-dessus. Il y a de fortes chances pour que Wanadoo lui colle un procès (et ne répare pas la faille). Note que ce n'est pas particulier à Wanadoo, c'est valable pour la plupart des entreprises qui ont les moyens de se payer un service juridique.
Je n'ai jamais eu de problèmes avec une entreprise en lui remontant une faille. En fait, la seule fois où j'ai eu un problème mais ça venait de la personne qui m'avait _publiquement_ demandé mon aide : elle m'a par la suite accusé de l'avoir - je cite - "balancer".
Cette personne étant proche de certains modérateurs, ceux-ci exigent que je censure son nom si je veux que ce message soit publié.
-- Olivier Aichelbaum
VANHULLEBUS Yvan
Avis a la population:
Apres avoir fait l'effort (presque surhumain) de relire (enfin, de resurvoler) l'ensemble de ce thread, j'en arrive a la conclusion existentielle suivante: il est devenu completement HS et tout a fait sterile.
C'est pourquoi, apres une periode de discussion entre les moderateurs et quelques intervenants ayant emis des protestations privees, j'annonce ici publiquement qu'il est desormais clos, et que tout nouveau post de ce thread sera purement et simplement refuse, meme s'il est hyper super pertinent.
Desole d'avance pour les messages qui ne manqueront pas d'etre refuses malgre le fait qu'ils aient ete composes avant lecture de cette annonce, ils seront duement comptabilises dans la colonne "dommages collateraux", quel qu'en soit l'emmeteur, et quelle qu'en soit la pertinence.
Tout lecteur neutre et equipe d'un cerveau qui aura eu la cursiosite (la patience ? le courage ?) de lire ce thread jusqu'a ses derniers posts aura deja probablement tire la meme conclusion que moi, a savoir que les intervenants etant manifestement a peu pres tous directement impliques (voire directement en conflit), un tel debat (deballage ?) public n'apportera aucune reponse objective.
J'invite les intervenants a continuer s'ils le desirent leurs querelles privees ailleurs que sur ce newsgroup (dans un bar sympa, autour d'une bonne biere, ca me paraitrait bien, mais bon, faites comme vous le sentez).
Je tiens egalement a preciser que, si des moderateurs ont effectivement ete directement impliques dans le fil de ce thread, il y a systematiquement eu concertation avant de refuser certains posts passes (il y a d'ailleurs eu tres peu de messages rejetes), voire simplement passage du relai a des moderateurs neutres dans l'histoire (moi, par exemple).
Bien evidemment, si certains points techniques/legaux/etc... sont restes en suspens et necessitent toujours discussions, libre aux contributeurs de ce forum de demarrer de nouveaux threads, sur ces points, mais, pour eviter tout risque de debordement, tout exemple "cible" sera vraisemblablement refuse par defaut, sauf reelle exception lourdement discutee avec l'equipe de moderation.
Yvan, co-moderateur de fr.comp.securite.
Avis a la population:
Apres avoir fait l'effort (presque surhumain) de relire (enfin, de
resurvoler) l'ensemble de ce thread, j'en arrive a la conclusion
existentielle suivante: il est devenu completement HS et tout a fait
sterile.
C'est pourquoi, apres une periode de discussion entre les moderateurs
et quelques intervenants ayant emis des protestations privees,
j'annonce ici publiquement qu'il est desormais clos, et que tout
nouveau post de ce thread sera purement et simplement refuse, meme
s'il est hyper super pertinent.
Desole d'avance pour les messages qui ne manqueront pas d'etre refuses
malgre le fait qu'ils aient ete composes avant lecture de cette
annonce, ils seront duement comptabilises dans la colonne "dommages
collateraux", quel qu'en soit l'emmeteur, et quelle qu'en soit la
pertinence.
Tout lecteur neutre et equipe d'un cerveau qui aura eu la cursiosite
(la patience ? le courage ?) de lire ce thread jusqu'a ses derniers
posts aura deja probablement tire la meme conclusion que moi, a savoir
que les intervenants etant manifestement a peu pres tous directement
impliques (voire directement en conflit), un tel debat (deballage ?)
public n'apportera aucune reponse objective.
J'invite les intervenants a continuer s'ils le desirent leurs
querelles privees ailleurs que sur ce newsgroup (dans un bar sympa,
autour d'une bonne biere, ca me paraitrait bien, mais bon, faites
comme vous le sentez).
Je tiens egalement a preciser que, si des moderateurs ont
effectivement ete directement impliques dans le fil de ce thread, il y
a systematiquement eu concertation avant de refuser certains posts
passes (il y a d'ailleurs eu tres peu de messages rejetes), voire
simplement passage du relai a des moderateurs neutres dans l'histoire
(moi, par exemple).
Bien evidemment, si certains points techniques/legaux/etc... sont
restes en suspens et necessitent toujours discussions, libre aux
contributeurs de ce forum de demarrer de nouveaux threads, sur ces
points, mais, pour eviter tout risque de debordement, tout exemple
"cible" sera vraisemblablement refuse par defaut, sauf reelle
exception lourdement discutee avec l'equipe de moderation.
Apres avoir fait l'effort (presque surhumain) de relire (enfin, de resurvoler) l'ensemble de ce thread, j'en arrive a la conclusion existentielle suivante: il est devenu completement HS et tout a fait sterile.
C'est pourquoi, apres une periode de discussion entre les moderateurs et quelques intervenants ayant emis des protestations privees, j'annonce ici publiquement qu'il est desormais clos, et que tout nouveau post de ce thread sera purement et simplement refuse, meme s'il est hyper super pertinent.
Desole d'avance pour les messages qui ne manqueront pas d'etre refuses malgre le fait qu'ils aient ete composes avant lecture de cette annonce, ils seront duement comptabilises dans la colonne "dommages collateraux", quel qu'en soit l'emmeteur, et quelle qu'en soit la pertinence.
Tout lecteur neutre et equipe d'un cerveau qui aura eu la cursiosite (la patience ? le courage ?) de lire ce thread jusqu'a ses derniers posts aura deja probablement tire la meme conclusion que moi, a savoir que les intervenants etant manifestement a peu pres tous directement impliques (voire directement en conflit), un tel debat (deballage ?) public n'apportera aucune reponse objective.
J'invite les intervenants a continuer s'ils le desirent leurs querelles privees ailleurs que sur ce newsgroup (dans un bar sympa, autour d'une bonne biere, ca me paraitrait bien, mais bon, faites comme vous le sentez).
Je tiens egalement a preciser que, si des moderateurs ont effectivement ete directement impliques dans le fil de ce thread, il y a systematiquement eu concertation avant de refuser certains posts passes (il y a d'ailleurs eu tres peu de messages rejetes), voire simplement passage du relai a des moderateurs neutres dans l'histoire (moi, par exemple).
Bien evidemment, si certains points techniques/legaux/etc... sont restes en suspens et necessitent toujours discussions, libre aux contributeurs de ce forum de demarrer de nouveaux threads, sur ces points, mais, pour eviter tout risque de debordement, tout exemple "cible" sera vraisemblablement refuse par defaut, sauf reelle exception lourdement discutee avec l'equipe de moderation.
Yvan, co-moderateur de fr.comp.securite.
Moderation de fcs
Nous avons été saisi par Olivier Aichelbaum d'une vive protestation concernant une remarque ou allusion de Nicob à son encontre en fin de contribution alors que nous avons refusé un de ses posts au même motif.
Dans le contexte du moment une dernière contribution de Nicob aurait du être refusée en l'état.
Nous prenons acte de cette demande. En conséquence, après discution entre modérateur il a été décidé de supprimer la liste blanche et de publier ce communiqué.
Nous demandons aussi aux gens qui ont de gros contentieux entre eux d'éviter de faire un gros post en charte suivi d'une allusion qui peu parraître à tous insignifiante ou amusante, y compris au modérateurs, mais qui, contentieux oblige, va mettre le feu aux poudres. Merci de bien vouloir vous étriper en privé.
L'équipe de modération de fcs.
Nous avons été saisi par Olivier Aichelbaum d'une vive protestation
concernant une remarque ou allusion de Nicob à son encontre en fin de
contribution alors que nous avons refusé un de ses posts au même motif.
Dans le contexte du moment une dernière contribution de Nicob aurait du
être refusée en l'état.
Nous prenons acte de cette demande. En conséquence, après discution
entre modérateur il a été décidé de supprimer la liste blanche et de
publier ce communiqué.
Nous demandons aussi aux gens qui ont de gros contentieux entre eux
d'éviter de faire un gros post en charte suivi d'une allusion qui peu
parraître à tous insignifiante ou amusante, y compris au modérateurs,
mais qui, contentieux oblige, va mettre le feu aux poudres. Merci de
bien vouloir vous étriper en privé.
Nous avons été saisi par Olivier Aichelbaum d'une vive protestation concernant une remarque ou allusion de Nicob à son encontre en fin de contribution alors que nous avons refusé un de ses posts au même motif.
Dans le contexte du moment une dernière contribution de Nicob aurait du être refusée en l'état.
Nous prenons acte de cette demande. En conséquence, après discution entre modérateur il a été décidé de supprimer la liste blanche et de publier ce communiqué.
Nous demandons aussi aux gens qui ont de gros contentieux entre eux d'éviter de faire un gros post en charte suivi d'une allusion qui peu parraître à tous insignifiante ou amusante, y compris au modérateurs, mais qui, contentieux oblige, va mettre le feu aux poudres. Merci de bien vouloir vous étriper en privé.
