Oui, et si c'est le FAI qui est vulnérable ? Que faire à part attendre qu'il patche ?
Installer et utiliser son propre DNS récursif autonome qui ne soit pas vulnérable.
Fabien LE LEZ
On 10 Jul 2008 10:35:43 GMT, Pascal Hambourg :
Installer et utiliser son propre DNS récursif autonome qui ne soit pas vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui : - fonctionne sous Windows - ne soit pas vulnérable - soit raisonnablement facile à installer ?
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour depuis une éternité, j'imagine qu'il ne correspond pas au deuxième critère. Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je affirmer qu'il ne correspond pas au troisième critère. Il y a bien djbdns, mais à ma connaissance, il n'est pas installable sous Windows.
On 10 Jul 2008 10:35:43 GMT, Pascal Hambourg :
Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.
Installer et utiliser son propre DNS récursif autonome qui ne soit pas vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui : - fonctionne sous Windows - ne soit pas vulnérable - soit raisonnablement facile à installer ?
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour depuis une éternité, j'imagine qu'il ne correspond pas au deuxième critère. Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je affirmer qu'il ne correspond pas au troisième critère. Il y a bien djbdns, mais à ma connaissance, il n'est pas installable sous Windows.
Pascal Hambourg
Fabien LE LEZ a écrit :
Installer et utiliser son propre DNS récursif autonome qui ne soit pas vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui : - fonctionne sous Windows - ne soit pas vulnérable - soit raisonnablement facile à installer ?
Non, je n'utilise que BIND 9 sous GNU/Linux.
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour depuis une éternité, j'imagine qu'il ne correspond pas au deuxième critère.
Pas sûr. C'est une faille résultant d'un mauvais choix de conception. Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux vérifier avec le lien fourni en début de fil. Par contre il a peut-être d'autres failles ou bugs.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je affirmer qu'il ne correspond pas au troisième critère.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans fcr.ip.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable sous Windows.
Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre cette vulnérabilité parce que son développeur avait fait le bon choix de conception dès le départ.
Fabien LE LEZ a écrit :
Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?
Non, je n'utilise que BIND 9 sous GNU/Linux.
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.
Pas sûr. C'est une faille résultant d'un mauvais choix de conception.
Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne
sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux
vérifier avec le lien fourni en début de fil. Par contre il a peut-être
d'autres failles ou bugs.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.
Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre
cette vulnérabilité parce que son développeur avait fait le bon choix de
conception dès le départ.
Installer et utiliser son propre DNS récursif autonome qui ne soit pas vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui : - fonctionne sous Windows - ne soit pas vulnérable - soit raisonnablement facile à installer ?
Non, je n'utilise que BIND 9 sous GNU/Linux.
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour depuis une éternité, j'imagine qu'il ne correspond pas au deuxième critère.
Pas sûr. C'est une faille résultant d'un mauvais choix de conception. Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux vérifier avec le lien fourni en début de fil. Par contre il a peut-être d'autres failles ou bugs.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je affirmer qu'il ne correspond pas au troisième critère.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans fcr.ip.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable sous Windows.
Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre cette vulnérabilité parce que son développeur avait fait le bon choix de conception dès le départ.
Fabien LE LEZ
On 10 Jul 2008 11:08:16 GMT, Pascal Hambourg :
De toute façon tu peux vérifier avec le lien fourni en début de fil.
Ah ben effectivement, Posadis semble fonctionner correctement. :-)
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je affirmer qu'il ne correspond pas au troisième critère.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans fcr.ip.
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore, pour Emacs, c'est en projet), mais il faut un sacré investissement au début. Du coup, quand on a de petits besoins (pallier les déficiences des DNS de son FAI, par exemple), des solutions plus simples sont bien agréables.
On 10 Jul 2008 11:08:16 GMT, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org>:
De toute façon tu peux
vérifier avec le lien fourni en début de fil.
Ah ben effectivement, Posadis semble fonctionner correctement. :-)
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.
De toute façon tu peux vérifier avec le lien fourni en début de fil.
Ah ben effectivement, Posadis semble fonctionner correctement. :-)
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je affirmer qu'il ne correspond pas au troisième critère.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans fcr.ip.
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore, pour Emacs, c'est en projet), mais il faut un sacré investissement au début. Du coup, quand on a de petits besoins (pallier les déficiences des DNS de son FAI, par exemple), des solutions plus simples sont bien agréables.
Pascal Hambourg
Fabien LE LEZ a écrit :
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore, pour Emacs, c'est en projet), mais il faut un sacré investissement au début. Du coup, quand on a de petits besoins (pallier les déficiences des DNS de son FAI, par exemple), des solutions plus simples sont bien agréables.
Je ne sais pas pour la version Windows, mais la version empaquetée pour Debian s'installe toute seule et est configurée par défaut pour servir de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus simple que BIND pour un simple cache récursif.
Fabien LE LEZ a écrit :
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.
Je ne sais pas pour la version Windows, mais la version empaquetée pour
Debian s'installe toute seule et est configurée par défaut pour servir
de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus
simple que BIND pour un simple cache récursif.
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore, pour Emacs, c'est en projet), mais il faut un sacré investissement au début. Du coup, quand on a de petits besoins (pallier les déficiences des DNS de son FAI, par exemple), des solutions plus simples sont bien agréables.
Je ne sais pas pour la version Windows, mais la version empaquetée pour Debian s'installe toute seule et est configurée par défaut pour servir de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus simple que BIND pour un simple cache récursif.
Thierry
"Pascal Hambourg" a écrit dans le message de news: g54qg6$2rna$
De toute façon tu peux vérifier avec le lien fourni en début de fil.
C'est a dire que le site teste la faille ? Je pensais qu'il se contentait de verifier la version du soft DNS.
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: g54qg6$2rna$1@biggoron.nerim.net...
De toute façon tu peux vérifier avec le lien fourni en début de fil.
C'est a dire que le site teste la faille ?
Je pensais qu'il se contentait de verifier la version du soft DNS.
"Pascal Hambourg" a écrit dans le message de news: g54qg6$2rna$
De toute façon tu peux vérifier avec le lien fourni en début de fil.
C'est a dire que le site teste la faille ? Je pensais qu'il se contentait de verifier la version du soft DNS.
Pascal Hambourg
Thierry a écrit :
"Pascal Hambourg" a écrit dans le message de news: g54qg6$2rna$
De toute façon tu peux vérifier avec le lien fourni en début de fil.
C'est a dire que le site teste la faille ?
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de javascript qui fait faire une série de requête DNS au navigateur qui aboutissent à un serveur déterminé. Ça regarde si les requêtes ont toujours le même port source ou un port aléatoire. Ça vérifie peut-être aussi le caractère aléatoire de l'ID de requête.
Je pensais qu'il se contentait de verifier la version du soft DNS.
Je ne crois pas qu'il existe une méthode fiable pour cela.
Thierry a écrit :
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news: g54qg6$2rna$1@biggoron.nerim.net...
De toute façon tu peux vérifier avec le lien fourni en début de fil.
C'est a dire que le site teste la faille ?
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé. Ça regarde si les requêtes ont
toujours le même port source ou un port aléatoire. Ça vérifie peut-être
aussi le caractère aléatoire de l'ID de requête.
Je pensais qu'il se contentait de verifier la version du soft DNS.
Je ne crois pas qu'il existe une méthode fiable pour cela.
"Pascal Hambourg" a écrit dans le message de news: g54qg6$2rna$
De toute façon tu peux vérifier avec le lien fourni en début de fil.
C'est a dire que le site teste la faille ?
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de javascript qui fait faire une série de requête DNS au navigateur qui aboutissent à un serveur déterminé. Ça regarde si les requêtes ont toujours le même port source ou un port aléatoire. Ça vérifie peut-être aussi le caractère aléatoire de l'ID de requête.
Je pensais qu'il se contentait de verifier la version du soft DNS.
Je ne crois pas qu'il existe une méthode fiable pour cela.
Thierry B\.
--{ Pascal Hambourg a plopé ceci: }--
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de javascript qui fait faire une série de requête DNS au navigateur qui aboutissent à un serveur déterminé.
Est-ce que, _vraiment_, Javascript est capable de faire ce genre de choses ? Je trouve ça un peu inquiétant...
-- Pourquoi le Poulet a traversé la rue ? * Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit protéger sa propre existence sauf si cette protection le force à désobéir à un ordre humain ou à blesser un humain.
--{ Pascal Hambourg a plopé ceci: }--
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé.
Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...
--
Pourquoi le Poulet a traversé la rue ?
* Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit
protéger sa propre existence sauf si cette protection le force à désobéir
à un ordre humain ou à blesser un humain.
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de javascript qui fait faire une série de requête DNS au navigateur qui aboutissent à un serveur déterminé.
Est-ce que, _vraiment_, Javascript est capable de faire ce genre de choses ? Je trouve ça un peu inquiétant...
-- Pourquoi le Poulet a traversé la rue ? * Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit protéger sa propre existence sauf si cette protection le force à désobéir à un ordre humain ou à blesser un humain.
Fabien LE LEZ
On 11 Jul 2008 20:35:41 GMT, "Thierry B." :
Est-ce que, _vraiment_, Javascript est capable de faire ce genre de choses ? Je trouve ça un peu inquiétant...
Le code ne fait pas grand-chose : il se contente d'afficher, dans une iframe, la page
http://<session>.toorrr.com/printme.html
où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9]) choisis au hasard.
On 11 Jul 2008 20:35:41 GMT, "Thierry B." <tth@prout.stex.invalid>:
Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...
Le code ne fait pas grand-chose : il se contente d'afficher, dans une
iframe, la page
http://<session>.toorrr.com/printme.html
où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9])
choisis au hasard.
