Il est normal que les PC sur-puissants des alliés polonais participent à SETI !!! :-)
Roland Garcia
Nicob
On Mon, 29 Sep 2003 21:49:09 +0200, LaDDL wrote:
Mais comme je l'ai déjà longuement exprimé dans le thread "réponse à une intrusion"/"watermarking" sur fcs il faut contrôler l'accès à ce genre d'information très sensible.
Mort de rire.
C'est moi qui ait écrit ce code, donc si une loi obligeant à s'inscrire à un "club des malwares" venait à paraitre, JAB ne serait tout simplement pas public (enfin .. connu des membres de ce "club") mais je l'utiliserais quand même et en ferais profiter quelques potes.
Ton projet de contrôle de l'information liée aux malwares devrait être initié par les auteurs eux-mêmes pour être efficace (cf. Teso & Burneye, IDA & le watermarking, ...)
Nicob
On Mon, 29 Sep 2003 21:49:09 +0200, LaDDL wrote:
Mais comme je l'ai déjà longuement exprimé dans le thread "réponse à une
intrusion"/"watermarking" sur fcs il faut contrôler l'accès à ce genre
d'information très sensible.
Mort de rire.
C'est moi qui ait écrit ce code, donc si une loi obligeant à s'inscrire
à un "club des malwares" venait à paraitre, JAB ne serait tout
simplement pas public (enfin .. connu des membres de ce "club") mais je
l'utiliserais quand même et en ferais profiter quelques potes.
Ton projet de contrôle de l'information liée aux malwares devrait être
initié par les auteurs eux-mêmes pour être efficace (cf. Teso &
Burneye, IDA & le watermarking, ...)
Mais comme je l'ai déjà longuement exprimé dans le thread "réponse à une intrusion"/"watermarking" sur fcs il faut contrôler l'accès à ce genre d'information très sensible.
Mort de rire.
C'est moi qui ait écrit ce code, donc si une loi obligeant à s'inscrire à un "club des malwares" venait à paraitre, JAB ne serait tout simplement pas public (enfin .. connu des membres de ce "club") mais je l'utiliserais quand même et en ferais profiter quelques potes.
Ton projet de contrôle de l'information liée aux malwares devrait être initié par les auteurs eux-mêmes pour être efficace (cf. Teso & Burneye, IDA & le watermarking, ...)
Nicob
Nicob
On Mon, 29 Sep 2003 21:23:16 +0200, LaDDL wrote:
Certains reverse proxies protègent contre les attaques : connues - signatures IDS ; par saisies hostiles dans le formulaire web ; par utilisation de méthodes HTTP (OPTIONS, PUT, etc) ; par le protocole HTTP (headers modifiés, etc) par DoS par modif du contexte de transaction (champs caché, champs pré saisis, cookies, etc) par injection de code SQL
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée d'architecture, parceque perso, je suis complètement perdu dans tes explications.
Nicob
On Mon, 29 Sep 2003 21:23:16 +0200, LaDDL wrote:
Certains reverse proxies protègent contre les attaques :
connues - signatures IDS ;
par saisies hostiles dans le formulaire web ;
par utilisation de méthodes HTTP (OPTIONS, PUT, etc) ;
par le protocole HTTP (headers modifiés, etc)
par DoS
par modif du contexte de transaction (champs caché, champs pré saisis,
cookies, etc)
par injection de code SQL
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée
d'architecture, parceque perso, je suis complètement perdu dans tes
explications.
Certains reverse proxies protègent contre les attaques : connues - signatures IDS ; par saisies hostiles dans le formulaire web ; par utilisation de méthodes HTTP (OPTIONS, PUT, etc) ; par le protocole HTTP (headers modifiés, etc) par DoS par modif du contexte de transaction (champs caché, champs pré saisis, cookies, etc) par injection de code SQL
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée d'architecture, parceque perso, je suis complètement perdu dans tes explications.
Nicob
LaDDL
Roland Garcia wrote:
Je partage votre avis mais légaliser je ne pense pas que ce soit une bonne mesure même s'il faut encadrer légalement les "malwares".
En outre autoriser ou légitimer certains types de trojans oui mais uniquement des users accrédités/habilités par la DCSSI par exemple.
La DCSSI ne met pas de trojan sur le marché, les USA oui. Je pense que vous m'avez mal compris.
De part la mission de la DCSSI je pense qu'elle est la mieux placée pour qualifier les différents trojans et par là même occasion certifier les users (professionnels/prestataires de services en SI & SSI) utilisant ces outils.
[...]
Roland Garcia wrote:
Je partage votre avis mais légaliser je ne pense pas que ce soit une
bonne mesure même s'il faut encadrer légalement les "malwares".
En outre autoriser ou légitimer certains types de trojans oui mais
uniquement des users accrédités/habilités par la DCSSI par exemple.
La DCSSI ne met pas de trojan sur le marché, les USA oui.
Je pense que vous m'avez mal compris.
De part la mission de la DCSSI je pense qu'elle est la mieux placée pour
qualifier les différents trojans et par là même occasion certifier les
users (professionnels/prestataires de services en SI & SSI) utilisant
ces outils.
Je partage votre avis mais légaliser je ne pense pas que ce soit une bonne mesure même s'il faut encadrer légalement les "malwares".
En outre autoriser ou légitimer certains types de trojans oui mais uniquement des users accrédités/habilités par la DCSSI par exemple.
La DCSSI ne met pas de trojan sur le marché, les USA oui. Je pense que vous m'avez mal compris.
De part la mission de la DCSSI je pense qu'elle est la mieux placée pour qualifier les différents trojans et par là même occasion certifier les users (professionnels/prestataires de services en SI & SSI) utilisant ces outils.
[...]
LaDDL
Nicob wrote:
Mais comme je l'ai déjà longuement exprimé dans le thread "réponse à une intrusion"/"watermarking" sur fcs il faut contrôler l'accès à ce genre d'information très sensible.
Mort de rire.
C'est moi qui ait écrit ce code, Non c'est vrai personne ne l'avait remarqué ! lol
donc si une loi obligeant à s'inscrire à un "club des malwares" venait à paraitre, IMHO je ne pense pas qu'une loi soit la bonne mesure. Même si la
clarification & l'évolution du cadre légal en SI est nécessaire.
JAB ne serait tout simplement pas public (enfin .. connu des membres de ce "club") Oui.
mais je l'utiliserais quand même Qui t'a dit qu'en tant que professionnel on t'interdirait de
l'utiliser ?! Sachant que ce genre d'outil est on ne peut plus nécessaire/obligatoire quand on fait du conseil en SI (audit de sécurité logique : tests applicatifs/vulnérabilités/d'intrusion par exemple).
et en ferais profiter quelques potes. Des professionnels en SI/SSI oui et non des potes Nicob !!!
T'es un bon programmeur (IMHO) mais "putain" quand tu dis des choses comme ça je trouve ça irresponsable de ta part.
Ton projet de contrôle de l'information liée aux malwares devrait être initié par les auteurs eux-mêmes pour être efficace Je ne t'apprendrai pas (enfin j'espère) que les coderz/VXers ne nous ont
pas attendu pour communiquer et échanger. Les protocoles et services de communication sont suffisamment nombreux et poreux pour leur permettre de faire ce qu'ils veulent.
Sinon notre projet est un espace de confiance permettant le partage d'information sensible entre différentes communautés de la SI/SSI soit : les blancs, gris, noirs.
Nicob wrote:
Mais comme je l'ai déjà longuement exprimé dans le thread "réponse à une
intrusion"/"watermarking" sur fcs il faut contrôler l'accès à ce genre
d'information très sensible.
Mort de rire.
C'est moi qui ait écrit ce code,
Non c'est vrai personne ne l'avait remarqué ! lol
donc si une loi obligeant à s'inscrire
à un "club des malwares" venait à paraitre,
IMHO je ne pense pas qu'une loi soit la bonne mesure. Même si la
clarification & l'évolution du cadre légal en SI est nécessaire.
JAB ne serait tout
simplement pas public (enfin .. connu des membres de ce "club")
Oui.
mais je
l'utiliserais quand même
Qui t'a dit qu'en tant que professionnel on t'interdirait de
l'utiliser ?! Sachant que ce genre d'outil est on ne peut plus
nécessaire/obligatoire quand on fait du conseil en SI (audit de sécurité
logique : tests applicatifs/vulnérabilités/d'intrusion par exemple).
et en ferais profiter quelques potes.
Des professionnels en SI/SSI oui et non des potes Nicob !!!
T'es un bon programmeur (IMHO) mais "putain" quand tu dis des choses
comme ça je trouve ça irresponsable de ta part.
Ton projet de contrôle de l'information liée aux malwares devrait être
initié par les auteurs eux-mêmes pour être efficace
Je ne t'apprendrai pas (enfin j'espère) que les coderz/VXers ne nous ont
pas attendu pour communiquer et échanger. Les protocoles et services de
communication sont suffisamment nombreux et poreux pour leur permettre
de faire ce qu'ils veulent.
Sinon notre projet est un espace de confiance permettant le partage
d'information sensible entre différentes communautés de la SI/SSI soit :
les blancs, gris, noirs.
Mais comme je l'ai déjà longuement exprimé dans le thread "réponse à une intrusion"/"watermarking" sur fcs il faut contrôler l'accès à ce genre d'information très sensible.
Mort de rire.
C'est moi qui ait écrit ce code, Non c'est vrai personne ne l'avait remarqué ! lol
donc si une loi obligeant à s'inscrire à un "club des malwares" venait à paraitre, IMHO je ne pense pas qu'une loi soit la bonne mesure. Même si la
clarification & l'évolution du cadre légal en SI est nécessaire.
JAB ne serait tout simplement pas public (enfin .. connu des membres de ce "club") Oui.
mais je l'utiliserais quand même Qui t'a dit qu'en tant que professionnel on t'interdirait de
l'utiliser ?! Sachant que ce genre d'outil est on ne peut plus nécessaire/obligatoire quand on fait du conseil en SI (audit de sécurité logique : tests applicatifs/vulnérabilités/d'intrusion par exemple).
et en ferais profiter quelques potes. Des professionnels en SI/SSI oui et non des potes Nicob !!!
T'es un bon programmeur (IMHO) mais "putain" quand tu dis des choses comme ça je trouve ça irresponsable de ta part.
Ton projet de contrôle de l'information liée aux malwares devrait être initié par les auteurs eux-mêmes pour être efficace Je ne t'apprendrai pas (enfin j'espère) que les coderz/VXers ne nous ont
pas attendu pour communiquer et échanger. Les protocoles et services de communication sont suffisamment nombreux et poreux pour leur permettre de faire ce qu'ils veulent.
Sinon notre projet est un espace de confiance permettant le partage d'information sensible entre différentes communautés de la SI/SSI soit : les blancs, gris, noirs.
LaDDL
Nicob wrote:
On Mon, 29 Sep 2003 21:23:16 +0200, LaDDL wrote:
Certains reverse proxies protègent contre les attaques : connues - signatures IDS ; par saisies hostiles dans le formulaire web ; par utilisation de méthodes HTTP (OPTIONS, PUT, etc) ; par le protocole HTTP (headers modifiés, etc) par DoS par modif du contexte de transaction (champs caché, champs pré saisis, cookies, etc) par injection de code SQL
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée d'architecture, parceque perso, je suis complètement perdu dans tes explications.
Architecture générale :
HTTP HTTP -------> -------> Client Web Reverse Proxy Serveur Web <------- <------- HTTP HTTP
Si tu veux en savoir plus, je te suggère d'aller jeter un oeil ici par exemple : - owasp.com - kavado.com
Nicob wrote:
On Mon, 29 Sep 2003 21:23:16 +0200, LaDDL wrote:
Certains reverse proxies protègent contre les attaques :
connues - signatures IDS ;
par saisies hostiles dans le formulaire web ;
par utilisation de méthodes HTTP (OPTIONS, PUT, etc) ;
par le protocole HTTP (headers modifiés, etc)
par DoS
par modif du contexte de transaction (champs caché, champs pré saisis,
cookies, etc)
par injection de code SQL
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée
d'architecture, parceque perso, je suis complètement perdu dans tes
explications.
Architecture générale :
HTTP HTTP
-------> ------->
Client Web Reverse Proxy Serveur Web
<------- <-------
HTTP HTTP
Si tu veux en savoir plus, je te suggère d'aller jeter un oeil ici par
exemple :
- owasp.com
- kavado.com
Certains reverse proxies protègent contre les attaques : connues - signatures IDS ; par saisies hostiles dans le formulaire web ; par utilisation de méthodes HTTP (OPTIONS, PUT, etc) ; par le protocole HTTP (headers modifiés, etc) par DoS par modif du contexte de transaction (champs caché, champs pré saisis, cookies, etc) par injection de code SQL
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée d'architecture, parceque perso, je suis complètement perdu dans tes explications.
Architecture générale :
HTTP HTTP -------> -------> Client Web Reverse Proxy Serveur Web <------- <------- HTTP HTTP
Si tu veux en savoir plus, je te suggère d'aller jeter un oeil ici par exemple : - owasp.com - kavado.com
Nicob
On Tue, 30 Sep 2003 11:02:57 +0200, LaDDL wrote:
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée d'architecture, parceque perso, je suis complètement perdu dans tes explications.
Architecture générale : [blabla]
Je sais comment marche un reverse-proxy, mais ça sert prinicipalement à protégér un serveur Web. Or, dans le cas de JAB, point de serveur Web à protéger.
Moi y en a toujours pas comprendre ...
Nicob
On Tue, 30 Sep 2003 11:02:57 +0200, LaDDL wrote:
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée
d'architecture, parceque perso, je suis complètement perdu dans tes
explications.
Architecture générale :
[blabla]
Je sais comment marche un reverse-proxy, mais ça sert prinicipalement à
protégér un serveur Web. Or, dans le cas de JAB, point de serveur Web à
protéger.
Et ben explique-moi où tu places JAB et le reverse-proxy dans ton idée d'architecture, parceque perso, je suis complètement perdu dans tes explications.
Architecture générale : [blabla]
Je sais comment marche un reverse-proxy, mais ça sert prinicipalement à protégér un serveur Web. Or, dans le cas de JAB, point de serveur Web à protéger.
Moi y en a toujours pas comprendre ...
Nicob
Nicob
On Tue, 30 Sep 2003 10:47:11 +0200, LaDDL wrote:
mais je l'utiliserais quand même
Qui t'a dit qu'en tant que professionnel on t'interdirait de l'utiliser ?!
Supposons que je laisse tomber la sécurité informatique pour aller faire barman ou horticulteur. Je ne pourrais plus, selon toi, avoir accès à SubSeven, nmap, l'exploit pour les failles RPC I et II et JAB, c'est bien ça ?
et en ferais profiter quelques potes. Des professionnels en SI/SSI oui et non des potes Nicob !!!
T'es un bon programmeur (IMHO) mais "putain" quand tu dis des choses comme ça je trouve ça irresponsable de ta part.
Ben si, des potes ... C'est moi qui écrit le code, je peux donc choisir qui en disposera.
De toute façon, ça passe toujours par des potes : tu fais une version pas trop bugée (la beta), tu la files à des potes qui testent et te remontent des bugs ou des demandes de features, tu passes le soft amélioré à un cercle un peu plus grand (newsgroup, conf, mailing-list) et tu as encore du retour. Tu ponds une doc et tu enlèves les gros mots de tes commentaires, puis tu mets le soft en libre téléchargement, et enfin tu l'annonces (PacketStorm, SecTools, ...)
A la fin de ce "cycle de développemnt", entre 15 et 100 personnes ont eu le code, mais le RSSI de base qui lit Bugtraq n'est pas encore au courant. C'est la vie, c'est comme ça, Bruno ...
Quant à la notion d'irresponsabilité, je trouve qu'un des aspects légaux faisant le plus défaut en France est une loi protégeant juridiquement les personnes qui signalent les faillds aux éditeurs, webmasters et admins. Un gars qui fait de la sécurité applicative (comme moi) trouve en moyenne, et sans trop chercher, 1 à 5 failles par mois sur des sites qu'il *utilise à titre personnel* (banque en ligne, site "compagnon" d'un bouquin, mutuelle, ...). A chaque fois, je stresse pour remonter ces failles, en essayant d'éviter le doux son de la BEFTI qui tape à la porte au p'tit matin. Du coup, quand c'est trop sensible, je ferme ma gueule et laisse la faille en l'état.
Et puis c'est pas le cas "Kitetoa vs Tati" qui va relancer des vocations de "Robin des Bois des failles de sécu" :(
Nicob
On Tue, 30 Sep 2003 10:47:11 +0200, LaDDL wrote:
mais je
l'utiliserais quand même
Qui t'a dit qu'en tant que professionnel on t'interdirait de
l'utiliser ?!
Supposons que je laisse tomber la sécurité informatique pour aller faire
barman ou horticulteur. Je ne pourrais plus, selon toi, avoir accès à
SubSeven, nmap, l'exploit pour les failles RPC I et II et JAB, c'est bien
ça ?
et en ferais profiter quelques potes.
Des professionnels en SI/SSI oui et non des potes Nicob !!!
T'es un bon programmeur (IMHO) mais "putain" quand tu dis des choses
comme ça je trouve ça irresponsable de ta part.
Ben si, des potes ...
C'est moi qui écrit le code, je peux donc choisir qui en disposera.
De toute façon, ça passe toujours par des potes : tu fais une version
pas trop bugée (la beta), tu la files à des potes qui testent et te
remontent des bugs ou des demandes de features, tu passes le soft
amélioré à un cercle un peu plus grand (newsgroup, conf, mailing-list)
et tu as encore du retour. Tu ponds une doc et tu enlèves les gros mots
de tes commentaires, puis tu mets le soft en libre téléchargement, et
enfin tu l'annonces (PacketStorm, SecTools, ...)
A la fin de ce "cycle de développemnt", entre 15 et 100 personnes ont eu
le code, mais le RSSI de base qui lit Bugtraq n'est pas encore au courant.
C'est la vie, c'est comme ça, Bruno ...
Quant à la notion d'irresponsabilité, je trouve qu'un des aspects
légaux faisant le plus défaut en France est une loi protégeant
juridiquement les personnes qui signalent les faillds aux éditeurs,
webmasters et admins. Un gars qui fait de la sécurité applicative (comme
moi) trouve en moyenne, et sans trop chercher, 1 à 5 failles par mois sur
des sites qu'il *utilise à titre personnel* (banque en ligne, site
"compagnon" d'un bouquin, mutuelle, ...). A chaque fois, je stresse pour
remonter ces failles, en essayant d'éviter le doux son de la BEFTI qui
tape à la porte au p'tit matin. Du coup, quand c'est trop sensible, je
ferme ma gueule et laisse la faille en l'état.
Et puis c'est pas le cas "Kitetoa vs Tati" qui va relancer des vocations
de "Robin des Bois des failles de sécu" :(
Qui t'a dit qu'en tant que professionnel on t'interdirait de l'utiliser ?!
Supposons que je laisse tomber la sécurité informatique pour aller faire barman ou horticulteur. Je ne pourrais plus, selon toi, avoir accès à SubSeven, nmap, l'exploit pour les failles RPC I et II et JAB, c'est bien ça ?
et en ferais profiter quelques potes. Des professionnels en SI/SSI oui et non des potes Nicob !!!
T'es un bon programmeur (IMHO) mais "putain" quand tu dis des choses comme ça je trouve ça irresponsable de ta part.
Ben si, des potes ... C'est moi qui écrit le code, je peux donc choisir qui en disposera.
De toute façon, ça passe toujours par des potes : tu fais une version pas trop bugée (la beta), tu la files à des potes qui testent et te remontent des bugs ou des demandes de features, tu passes le soft amélioré à un cercle un peu plus grand (newsgroup, conf, mailing-list) et tu as encore du retour. Tu ponds une doc et tu enlèves les gros mots de tes commentaires, puis tu mets le soft en libre téléchargement, et enfin tu l'annonces (PacketStorm, SecTools, ...)
A la fin de ce "cycle de développemnt", entre 15 et 100 personnes ont eu le code, mais le RSSI de base qui lit Bugtraq n'est pas encore au courant. C'est la vie, c'est comme ça, Bruno ...
Quant à la notion d'irresponsabilité, je trouve qu'un des aspects légaux faisant le plus défaut en France est une loi protégeant juridiquement les personnes qui signalent les faillds aux éditeurs, webmasters et admins. Un gars qui fait de la sécurité applicative (comme moi) trouve en moyenne, et sans trop chercher, 1 à 5 failles par mois sur des sites qu'il *utilise à titre personnel* (banque en ligne, site "compagnon" d'un bouquin, mutuelle, ...). A chaque fois, je stresse pour remonter ces failles, en essayant d'éviter le doux son de la BEFTI qui tape à la porte au p'tit matin. Du coup, quand c'est trop sensible, je ferme ma gueule et laisse la faille en l'état.
Et puis c'est pas le cas "Kitetoa vs Tati" qui va relancer des vocations de "Robin des Bois des failles de sécu" :(
