Failles Critiques pour Mozilla et Firefox

Le Tue, 19 Apr 2005 17:02:33 +0000, Nick a écrit :

Comparons ce qui est comparable ! Les versions 0.x de FireFox sont des
bêtas, alors qu'IE 6 est une finale (de meme que les versions 5 et
anterieures).

Mais même quand Firefox était en 0.x, on vantait déjà sa supériorité
en terme de sécurité face à IE. Donc... Ceci dit, je reste un convaincu
de Firefox, ne serait-ce qu'en regardant le délai de correction des
failles. En effet, depuis au moins 2 ans, des failles _publiques_
permettent l'exécution de code via IE, soit directement, soit par
enchaînement.

Certes, Firefox/Mozilla présentent aussi des vulnérabilités, parfois
grosses, mais au moins, elles sont corrigées. En face, c'est pas vraiment
le cas. On peut toujours jouer avec les chiffres, mais au final, ce qui
compte, c'est le nombre de failles qu'on a pu avoir, mais le nombre de
failles qui restent. Et avec IE, objectivement (enfin j'essaye), on n'est
pas gâtés...


--
Les paillotes sont stables, il aurait juste fallu un
firewall digne de ce nom. Encore que certains apprentis
sorciers oublient de remettre en etat /var/log/messages.
-+- Liu in Guide du Linuxien pervers - "Bien protéger sa paillote" -+-

Chez Microsoft on attaque d'abord le hacker pour diffamation

Pour autant que je sache, ceci est relativement faux. On peut reprocher
pleins de choses à Microsoft (lenteur, mauvaise foi, etc.), mais je ne me
souviens pas avoir vu MS attaquer quelqu'un qui leur remontait une faille.

C'est un peu exagéré et de mauvaise foi je te le concède ;) Mais il a
été fréquent dans l'histoire de Microsoft d'ignorer totalement des
failles de sécurité qui leur ont été signalées et de critiquer ceux qui
les cherchaient dans leurs produits, ce qui a conduit les découvreurs
des failles à le rendre publiques pour forcer Microsoft à réagir. Ca
n'est plus vrai depuis le changement de politique de Microsoft vis à vis
de la sécurité depuis 2 ans, les responsables sécurité MS sont
complètement ouverts aux failles rapportées, ce qui ne change pas c'est
le temps de résolution des failles (plusieurs mois contre quelques jours
ou semaines au pire pour Firefox).

Pascal

Le Wed, 20 Apr 2005 12:39:34 +0000, Xavier a écrit :

Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de
s'installer sur des versions piratées de XP.

Tu ne vas pas leur reprocher de refuser leur support aux copies illicites
quelle qu'ait pu être leur attitude passée ?


--
Et garder en tête le panneau routier composé, dans l'ordre de haut en
bas, d'un marteau barré, d'une paire de fesses et d'une flèche, et qui
se lit : Te casse pas le cul, c'est tout droit !
-+- TL sur debian-french : "leçon de signalétique Unix" -+-

Le Wed, 20 Apr 2005 12:39:34 +0000, Xavier a écrit :

un communiqué de presse annoncant que la faille ne sera colmatée que
pour les clients utilisant Windows XPSP2 minimum.

Ca, c'est malheureusement vrai, en sachant en plus que SP2 refuse de
s'installer sur des versions piratées de XP.

Je peux amplement comprendre un "c'est chiant car SP2 est incompatible
avec bidule" ou "dans tel cas (légal) on ne peut déployer SP2" mais je
trouve ridicule de se plaindre de l'insécurité d'un OS (logiciel
quelconque d'ailleurs) piraté. Et encore plus si c'est parce qu'on ne
peut pas le mettre à jour.

Les alternatives à windows existent et sont *réellement*
opérationnelles pour la majeure partie des cas. Sinon le prix de Windows
n'est pas rédhibitoire s'il est un passage forcé pour utiliser tel ou
tel logiciel. Alors les discours à la "Word c'est trop cher on pirate et
je veux un support" ca me gonfle au plus haut point.

Quand on sait que en 1991, j'ai été licencié économique par un
éditeur de logiciels qui avait misé trop tôt sur le démarrage de
Windows, qui ne s'est fait qu'après que Microsoft ait *encouragé* le
pirtage de Windows, ça laisse rêveur...

Quand à ton licenciement il n'a rien à voir la dedans. P'tain j'ai été
licencié parce que mon employeur a cru trop tôt au déploiement de
nunux. Heureusement depuis que c'est gratuit ça a décolé ;-)

J'ai (il y a longtemps) interdit MS de cité dans tout ce qui ressemble
chez moi à un serveur et je suis pas fanchement suspect d'être pro
Mickey$oft mais reprocher un manquer de sécu pour non support des copies
pirates c'est se foutre de la gueule du monde.

Certes ils ont eu une politique assez particulière dans le passé mais
ça fait un bail que leur plan anti-piratage est lancé. Tu ne veux pas
aussi que les versions d'évaluation conservent une durée de vie
illimité pendant qu'on y est.

Pour revenir sur la sécu (ici ce n'est pas
alt.fr.comp.support-update-4-warez) la politique de mise à jour de MS
(windows update) est, amha, un bien pour tous les Michus de la terre[1].
C'est dangereux pour les pseudo-admins (si si, ceux qui permettent à
certains d'annoncer un tco pas trop élévé en oubliant d'ajouter les
frais du aux plantages et autres virus) qui n'évaluent pas le patch avant
de le mettre en prod mais c'est un autre problème.

Et pour rester sur la sécurité, un message simple : ne vous plaignez pas
de virus et autres trojans si vous êtes adeptes des warez. Sauf à avoir
envie de faire rigoler les autres.

Eric.

[1] Ce qui est moins bien c'est la quantité de faille connue et non
patchée depuis des lustres... :-/

On 20 Apr 2005 12:39:34 GMT, xavier@groumpf.org (Xavier):

en sachant en plus que SP2 refuse de
s'installer sur des versions piratées de XP.

Disons que si tu te procures Windows par des voies officieuses, tu
dois te procurer les rustines par les mêmes voies.


--
;-)

Le Wed, 20 Apr 2005 14:01:55 +0000, Xavier a écrit :

Tu ne vas pas leur reprocher de refuser leur support aux copies illicites
Si. Qu'une copie soit illicite ne cautionne pas le fait de mettre tout

le réseau Internet en danger avec des machinez zombies inprotégeables.

Je ne suis pas d'accord. La responsabilité n'en incombe pas à
l'éditeur, mais à l'utilisateur. Il ne faut pas se tromper de
responsable. Il y a pleins de choses à reprocher à Microsoft, mais il ne
faut pas non plus leur faire porter toute la misère du monde.

Et comme le dit Éric, pour ceux qui ne veulent pas payer la licence,
GNU/Linux est aujourd'hui une alternative tout à fait viable. Il y a un
moment il faut regarder les choses en face et prendre ses
responsabilités. Et pour recentrer sur la sécurité, un internet plus sûr
passe également par la diminution des copies illicites, dont le circuit
de distribution est à lui seul un vecteur d'infection non négligeable.

Quant au procès du "ouais mais ils ont encouragé cette situation", je
trouve que c'est une approche un peu naïve. Ils ont certes longtemps
fermé les yeux, mais d'ici à les taxer de dealer des CDs copiés... Le
truc amha, c'est que pendant longtemps, leur effort de support sécurité
a été assez limité. Or maintenant, ce n'est plus le cas, et ça leur
coûte cher. Donc ils veulent du retour sur investissement et verrouillent
leurs copies. En plus, ça a l'avantage de faire passer à la
caisse tout ceux qui ne peuvent plus se passer de MS. En
marketing, on appelle ça du teasing, technique largement utilisée par
les dealers (notion de dépendance). Alors franchement, depuis le temps
que les aficionados du libre rabâchent ce genre de scénarios en se
faisant taxer de paranoïaques irrécupérables, c'est un peu gros amha de
venir jouer les vierges effarouchées :)))

Tout ça pour dire qu'on ne peut pas avoir le beurre et l'argent du beurre
(voire la fille de la crémière, mais c'est une autre histoire).


--
Il me vient une question. Et aucune n'est idiote.
Il a-t-il une base associative à la gestion de la hiérarchie fr.
Sinon, pourquoi ne pas en constituer une ?
-+- YG in GNU : Neuneu Quichotte à l'asso des dinos. -+-

Cedric Blancher wrote:

Si. Qu'une copie soit illicite ne cautionne pas le fait de mettre tout
le réseau Internet en danger avec des machinez zombies inprotégeables.

Je ne suis pas d'accord. La responsabilité n'en incombe pas à
l'éditeur, mais à l'utilisateur. Il ne faut pas se tromper de
responsable. Il y a pleins de choses à reprocher à Microsoft, mais il ne
faut pas non plus leur faire porter toute la misère du monde.

Le truc, c'est que beaucoup de virus et vers sont peu dangereux pour le
système infecté, par contre ils sont très génants pour les autres
systèmes du net (paquets envoyés à tout va, relai spam...).

Bref, une telle décision pourrait bien avoir autant d'impact (négatif)
sur l'honnête citoyen que sur l'utilisateur pirate.

Il faut voir si d'autres solutions intermédiaires ne seraient pas
possibles, par exemple séparer patchs de sécurité et nouvelles
fonctionnalités, les premiers étant dispo pour tout le monde et les
dernières qu'aux installations légales.

Le Wed, 20 Apr 2005 17:26:05 +0000, Olivier Croquette a écrit :

Le truc, c'est que beaucoup de virus et vers sont peu dangereux pour le
système infecté, par contre ils sont très génants pour les autres
systèmes du net (paquets envoyés à tout va, relai spam...).

Certes, mais encore une fois, c'est à l'utilisateur d'être responsable
et de tenir son système à jour. Xavier et toi semblaient nous dire "oui
mais c'est pas possible". Afaik (mais Windows c'est pas mon truc) si,
mais c'est plus chiant, parce que faut (presque) tout faire à la main.

Bref, une telle décision pourrait bien avoir autant d'impact (négatif)
sur l'honnête citoyen que sur l'utilisateur pirate.

Cette décision n'empêche pas le-dit utilisateur d'obtenir la liste des
patches à appliquer en utilisant MBSA (gratuit) et de télécharger ses
updates directement sur le site sans passer par WindowsUpdate, et non ?

http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Il faut voir si d'autres solutions intermédiaires ne seraient pas
possibles, par exemple séparer patchs de sécurité et nouvelles
fonctionnalités, les premiers étant dispo pour tout le monde et les
dernières qu'aux installations légales.

Je crois que la solution intermédiaire est déjà disponible :
WindowsUpdate pour les copies légales, update manuelle pour les autres.

Les gens qui ne sont pas enregistrés sur Up2date de RedHat ont le même
problème, et personne ne vient couiner. Ceci dit, c'est vrai que apt-get
est disponible. Faudrait peut-être le porter sous Windows :)))


--
BOFH excuse #222:

I'm not sure. Try calling the Internet's head office -- it's in the book.

Le Wed, 20 Apr 2005 19:21:11 +0000, Xavier a écrit :

mais je trouve ridicule de se plaindre de l'insécurité d'un OS
(logiciel quelconque d'ailleurs) piraté. Et encore plus si c'est parce
qu'on ne peut pas le mettre à jour.

Mais JE ne me plains pas.

Bien si. Indirectement (ce n'est pas toi qui pirate mais tu te plains
bien que le pirate ne peux upgrader).

Je me plais que le jeuune Jean-Kevin qui a
acheté son péssé Win 98 cheza Auchan, et upgradé "sauvagement" en XP

La on est précisement absolument pas d'accord sur les termes.
Il a *volé* un bien. Ce n'est pas parce que c'est un logiciel que c'est
admissible (même si c'est du MS). Windows n'est pas en GPL que je sache!

Si je pousse ton raisonnement à sa limite j'achète ma ford merdissimo[1]
à bas prix et je vole (pardon, upgrade en) la Grand Tourismo mais comme
il y a un problème de série sur les freins je vais provoquer un accident
à cause de Ford, puisque le chassis de ma bagnole est marquée et que je
ne peux pas faire Ford-Updates. P'tain Ford c'est vraiment anti-sécurité!

Tu ne vois pas où tu raconte une connerie, là?

ne puisse pas sécuriser son XP.

Pas SON XP, mais un XP volé. Ce n'est certainement pas la même chose.

Là, c'est pas Jean-Kevin qui en souffre,
mais c'est moi, en tant qu'utilisateur (et même un peu acteur)
d'Internet.

Et le mec qui s'est pris la GT pleine poire n'y est pour rien non plus.
Mais ça ne lui viendrais pas à l'idée (enfin un membre de la famille du
décédé ;) ) de porter plainte contre Ford.

Il y a quand même une sacrée différence.

Oui. Marre des gus qui trouvent normal le vol de logiciel. Une fois de
plus, je me répête les alternatives existent.
A la rigueur un rare cas où je verrais une circonstance atténuante c'est
quand un étudiant doit rendre un devoir C++ (exemple bateau) utilisant
obligatoirement la superbe biblio du prof ecrite en... VC++ avec des trucs
proprio[2]. Et c'est vraiment pour faire preuve de concession :)

Pour résumer "que Microsoft se démerde avec ses pirtaes, mais que ça ne
cause pas de tort à ceux qui n'ont rien à voir". Et c'est pas le cas.

Non, MS n'a rien a voir avec ça.
Soit dit en passant il n'y a pas que les windows piratés qui sont à
craindre ; il y a plein de Michus non patchés qui trainent aussi :)

Tu n'as visibelment pas compris mon propos.

Que trop bien j'en ai peur :-(

Au fait, aucune raison de crosspost sans fu2.
Mis en place.

Eric

[1] rappel : mib ne concerne pas que snmp :)
[2] Exemple déjà malheureusemet vu évoqué.

On 20 Apr 2005 12:39:34 GMT, xavier@groumpf.org (Xavier):

en sachant en plus que SP2 refuse de
s'installer sur des versions piratées de XP.

Disons que si tu te procures Windows par des voies officieuses, tu
dois te procurer les rustines par les mêmes voies.

J'ai cru comprendre qu'il existe un générateur de clé qui
permet l'installation du SP2 sur un XP pro piraté. La mise à
jour doit donc devenir possible par windows update non ?