In article <4730ee50$0$27413$,
Tout ça c'est très fleur bleue, mais pas très réaliste.
Maintenant un fort pourcentage des machines a du wifi et/ou du
bluetooth, tout ça est largement ouvert au 4 vents par des utilisateurs
mal informés. Sur un réseau donné c'est de plus en plus rare de trouver
un seul point d'entrée possible qui puisse tout filtrer. Le firewall de
la connexion "officielle" est insuffisant.
Alors oui, les attaques ne viendront plus vraiment d'internet, mais de
chez les voisins, ou d'un type attablé dans le café en bas.
In article <4730ee50$0$27413$ba4acef3@news.orange.fr>,
Tout ça c'est très fleur bleue, mais pas très réaliste.
Maintenant un fort pourcentage des machines a du wifi et/ou du
bluetooth, tout ça est largement ouvert au 4 vents par des utilisateurs
mal informés. Sur un réseau donné c'est de plus en plus rare de trouver
un seul point d'entrée possible qui puisse tout filtrer. Le firewall de
la connexion "officielle" est insuffisant.
Alors oui, les attaques ne viendront plus vraiment d'internet, mais de
chez les voisins, ou d'un type attablé dans le café en bas.
In article <4730ee50$0$27413$,
Tout ça c'est très fleur bleue, mais pas très réaliste.
Maintenant un fort pourcentage des machines a du wifi et/ou du
bluetooth, tout ça est largement ouvert au 4 vents par des utilisateurs
mal informés. Sur un réseau donné c'est de plus en plus rare de trouver
un seul point d'entrée possible qui puisse tout filtrer. Le firewall de
la connexion "officielle" est insuffisant.
Alors oui, les attaques ne viendront plus vraiment d'internet, mais de
chez les voisins, ou d'un type attablé dans le café en bas.
In article <4730ed66$0$27381$,
Dans le domaine de la sécurité, Apple se moque assez largement du monde
avec la version 10.5 de Mac OS X. Et si tu penses que sur mac le seul
problème se situe entre la chaise et le clavier, c'est une très mauvaise
idée (et pour le coup, il y a bien un problème entre ta chaise et ton
clavier).
Je suis pragmatique. la sécurité pour la beauté de la sécurité, c'est
In article <4730ed66$0$27381$ba4acef3@news.orange.fr>,
Dans le domaine de la sécurité, Apple se moque assez largement du monde
avec la version 10.5 de Mac OS X. Et si tu penses que sur mac le seul
problème se situe entre la chaise et le clavier, c'est une très mauvaise
idée (et pour le coup, il y a bien un problème entre ta chaise et ton
clavier).
Je suis pragmatique. la sécurité pour la beauté de la sécurité, c'est
In article <4730ed66$0$27381$,
Dans le domaine de la sécurité, Apple se moque assez largement du monde
avec la version 10.5 de Mac OS X. Et si tu penses que sur mac le seul
problème se situe entre la chaise et le clavier, c'est une très mauvaise
idée (et pour le coup, il y a bien un problème entre ta chaise et ton
clavier).
Je suis pragmatique. la sécurité pour la beauté de la sécurité, c'est
In article <4730ee50$0$27413$,
Tout ça c'est très fleur bleue, mais pas très réaliste.
Maintenant un fort pourcentage des machines a du wifi et/ou du
bluetooth, tout ça est largement ouvert au 4 vents par des utilisateurs
mal informés. Sur un réseau donné c'est de plus en plus rare de trouver
un seul point d'entrée possible qui puisse tout filtrer. Le firewall de
la connexion "officielle" est insuffisant.
Alors oui, les attaques ne viendront plus vraiment d'internet, mais de
chez les voisins, ou d'un type attablé dans le café en bas.
D'accord, mais quelle attaque sous MacOsX ? A part du DDOS, je vois pas...
In article <4730ee50$0$27413$ba4acef3@news.orange.fr>,
Tout ça c'est très fleur bleue, mais pas très réaliste.
Maintenant un fort pourcentage des machines a du wifi et/ou du
bluetooth, tout ça est largement ouvert au 4 vents par des utilisateurs
mal informés. Sur un réseau donné c'est de plus en plus rare de trouver
un seul point d'entrée possible qui puisse tout filtrer. Le firewall de
la connexion "officielle" est insuffisant.
Alors oui, les attaques ne viendront plus vraiment d'internet, mais de
chez les voisins, ou d'un type attablé dans le café en bas.
D'accord, mais quelle attaque sous MacOsX ? A part du DDOS, je vois pas...
In article <4730ee50$0$27413$,
Tout ça c'est très fleur bleue, mais pas très réaliste.
Maintenant un fort pourcentage des machines a du wifi et/ou du
bluetooth, tout ça est largement ouvert au 4 vents par des utilisateurs
mal informés. Sur un réseau donné c'est de plus en plus rare de trouver
un seul point d'entrée possible qui puisse tout filtrer. Le firewall de
la connexion "officielle" est insuffisant.
Alors oui, les attaques ne viendront plus vraiment d'internet, mais de
chez les voisins, ou d'un type attablé dans le café en bas.
D'accord, mais quelle attaque sous MacOsX ? A part du DDOS, je vois pas...
In article <4730ed66$0$27381$,
Dans le domaine de la sécurité, Apple se moque assez largement du monde
avec la version 10.5 de Mac OS X. Et si tu penses que sur mac le seul
problème se situe entre la chaise et le clavier, c'est une très mauvaise
idée (et pour le coup, il y a bien un problème entre ta chaise et ton
clavier).
Je suis pragmatique. la sécurité pour la beauté de la sécurité, c'est
inutile, générateur de perte de temps et d'argent. Il faut évaluer les
risques à leur juste valeur.
In article <4730ed66$0$27381$ba4acef3@news.orange.fr>,
Dans le domaine de la sécurité, Apple se moque assez largement du monde
avec la version 10.5 de Mac OS X. Et si tu penses que sur mac le seul
problème se situe entre la chaise et le clavier, c'est une très mauvaise
idée (et pour le coup, il y a bien un problème entre ta chaise et ton
clavier).
Je suis pragmatique. la sécurité pour la beauté de la sécurité, c'est
inutile, générateur de perte de temps et d'argent. Il faut évaluer les
risques à leur juste valeur.
In article <4730ed66$0$27381$,
Dans le domaine de la sécurité, Apple se moque assez largement du monde
avec la version 10.5 de Mac OS X. Et si tu penses que sur mac le seul
problème se situe entre la chaise et le clavier, c'est une très mauvaise
idée (et pour le coup, il y a bien un problème entre ta chaise et ton
clavier).
Je suis pragmatique. la sécurité pour la beauté de la sécurité, c'est
inutile, générateur de perte de temps et d'argent. Il faut évaluer les
risques à leur juste valeur.
je suis d'accord sur le principe de dimensionner sa sécurité par rapport
aux menaces. Seulement, aujourd'hui, je suis entouré d'une bonne
douzaine de réseau wifi rien que chez moi, dont probablement 95% des
postes sont sous windows, et dont une part non négligeable doit faire
partie des millions de zombies bourrés de backdoors qu'on trouve à tous
les coins d'internet.
Soit, mais comment ces réseaux parviendraient il à se connecter chez moi
Parlons maintenant d'un partage de fichier SMB que je pourrais faire sur
mon WAN : je me crois chez moi en sécurité, et un mafieux russe pompe
mes documents, les vérole avec du matériel génétique à destination de
windows, voire les détruit.
Le partage SMB sur Mac, juste entre Mac, n'a pas d'interet. Et il n'est
Parlons aussi d'un windows XP lancé dans parallels, ou via bootcamp
occasionnellement... pour le quel on n'aura probablement pas
d'antivirus, ou de firewall activé, parce que finalement "on est sur
mac", et surtout on est macuser, on a bien pris l'habitude de se
dispenser de tels outils.
Eh bien non... Dans mes install VMWare (pas chez moi, j'ai pas de mac
On ne parle jamais d'un Mac OS X sorti de la boite, on parle d'une
machine qui a une vie réglée par un utilisateur pas toujours compétent
et informé, dans un environnement qui n'a rien de la topologie proprette
d'un réseau administré par des ingé à plein temps.
Bon, évidement, moi, c'est mon boulot d'administrer des réseaux. ;) Mon
On parle de gens qui
peuvent facilement se gourer de clic quand ils font la config de leur
router freebox, de gens qui activent tous les partages jusqu'à ce que
l'autre ordi voit enfin les bons documents, de gens qui ne mettent pas
de mot de passe là ou il en faut parce que c'est plus simple, ...
La chaise...Le clavier....
Si la "beauté de la sécurité" comme tu dis était vraiment dans la boite
comme le vante Apple, alors l'utilisateur pourrait s'autoriser une part
d'insouciance réelle : chouette tel serveur utilise la séparation des
privilèges, tourne dans une sandbox, et je peux l'autoriser/interdir
explicitement dans le firewall. Donc même si le 0day de la mort est
découvert, le pirate ne pourra rien faire d'autre qu'attraper un shell
nologin avec les privilèges de l'utilisateur nobody, dans un chroot qui
contient juste /dev/null, et encore, je peux le bloquer dans le firewall.
Malheureusement, ce qu'on a en 10.5 c'est : chouette Apple dit que mon
firewall peut tout bloquer, et que mes serveurs sont dans des sandbox.
Le 0day arrive, le firewall bloque "tout", sauf l'accès au serveur qui
tourne en root et qui n'est pas sandboxé. oups.
Finalement, vu que je n'ai aucune intention de migrer en 10.5, je suis
je suis d'accord sur le principe de dimensionner sa sécurité par rapport
aux menaces. Seulement, aujourd'hui, je suis entouré d'une bonne
douzaine de réseau wifi rien que chez moi, dont probablement 95% des
postes sont sous windows, et dont une part non négligeable doit faire
partie des millions de zombies bourrés de backdoors qu'on trouve à tous
les coins d'internet.
Soit, mais comment ces réseaux parviendraient il à se connecter chez moi
Parlons maintenant d'un partage de fichier SMB que je pourrais faire sur
mon WAN : je me crois chez moi en sécurité, et un mafieux russe pompe
mes documents, les vérole avec du matériel génétique à destination de
windows, voire les détruit.
Le partage SMB sur Mac, juste entre Mac, n'a pas d'interet. Et il n'est
Parlons aussi d'un windows XP lancé dans parallels, ou via bootcamp
occasionnellement... pour le quel on n'aura probablement pas
d'antivirus, ou de firewall activé, parce que finalement "on est sur
mac", et surtout on est macuser, on a bien pris l'habitude de se
dispenser de tels outils.
Eh bien non... Dans mes install VMWare (pas chez moi, j'ai pas de mac
On ne parle jamais d'un Mac OS X sorti de la boite, on parle d'une
machine qui a une vie réglée par un utilisateur pas toujours compétent
et informé, dans un environnement qui n'a rien de la topologie proprette
d'un réseau administré par des ingé à plein temps.
Bon, évidement, moi, c'est mon boulot d'administrer des réseaux. ;) Mon
On parle de gens qui
peuvent facilement se gourer de clic quand ils font la config de leur
router freebox, de gens qui activent tous les partages jusqu'à ce que
l'autre ordi voit enfin les bons documents, de gens qui ne mettent pas
de mot de passe là ou il en faut parce que c'est plus simple, ...
La chaise...Le clavier....
Si la "beauté de la sécurité" comme tu dis était vraiment dans la boite
comme le vante Apple, alors l'utilisateur pourrait s'autoriser une part
d'insouciance réelle : chouette tel serveur utilise la séparation des
privilèges, tourne dans une sandbox, et je peux l'autoriser/interdir
explicitement dans le firewall. Donc même si le 0day de la mort est
découvert, le pirate ne pourra rien faire d'autre qu'attraper un shell
nologin avec les privilèges de l'utilisateur nobody, dans un chroot qui
contient juste /dev/null, et encore, je peux le bloquer dans le firewall.
Malheureusement, ce qu'on a en 10.5 c'est : chouette Apple dit que mon
firewall peut tout bloquer, et que mes serveurs sont dans des sandbox.
Le 0day arrive, le firewall bloque "tout", sauf l'accès au serveur qui
tourne en root et qui n'est pas sandboxé. oups.
Finalement, vu que je n'ai aucune intention de migrer en 10.5, je suis
je suis d'accord sur le principe de dimensionner sa sécurité par rapport
aux menaces. Seulement, aujourd'hui, je suis entouré d'une bonne
douzaine de réseau wifi rien que chez moi, dont probablement 95% des
postes sont sous windows, et dont une part non négligeable doit faire
partie des millions de zombies bourrés de backdoors qu'on trouve à tous
les coins d'internet.
Soit, mais comment ces réseaux parviendraient il à se connecter chez moi
Parlons maintenant d'un partage de fichier SMB que je pourrais faire sur
mon WAN : je me crois chez moi en sécurité, et un mafieux russe pompe
mes documents, les vérole avec du matériel génétique à destination de
windows, voire les détruit.
Le partage SMB sur Mac, juste entre Mac, n'a pas d'interet. Et il n'est
Parlons aussi d'un windows XP lancé dans parallels, ou via bootcamp
occasionnellement... pour le quel on n'aura probablement pas
d'antivirus, ou de firewall activé, parce que finalement "on est sur
mac", et surtout on est macuser, on a bien pris l'habitude de se
dispenser de tels outils.
Eh bien non... Dans mes install VMWare (pas chez moi, j'ai pas de mac
On ne parle jamais d'un Mac OS X sorti de la boite, on parle d'une
machine qui a une vie réglée par un utilisateur pas toujours compétent
et informé, dans un environnement qui n'a rien de la topologie proprette
d'un réseau administré par des ingé à plein temps.
Bon, évidement, moi, c'est mon boulot d'administrer des réseaux. ;) Mon
On parle de gens qui
peuvent facilement se gourer de clic quand ils font la config de leur
router freebox, de gens qui activent tous les partages jusqu'à ce que
l'autre ordi voit enfin les bons documents, de gens qui ne mettent pas
de mot de passe là ou il en faut parce que c'est plus simple, ...
La chaise...Le clavier....
Si la "beauté de la sécurité" comme tu dis était vraiment dans la boite
comme le vante Apple, alors l'utilisateur pourrait s'autoriser une part
d'insouciance réelle : chouette tel serveur utilise la séparation des
privilèges, tourne dans une sandbox, et je peux l'autoriser/interdir
explicitement dans le firewall. Donc même si le 0day de la mort est
découvert, le pirate ne pourra rien faire d'autre qu'attraper un shell
nologin avec les privilèges de l'utilisateur nobody, dans un chroot qui
contient juste /dev/null, et encore, je peux le bloquer dans le firewall.
Malheureusement, ce qu'on a en 10.5 c'est : chouette Apple dit que mon
firewall peut tout bloquer, et que mes serveurs sont dans des sandbox.
Le 0day arrive, le firewall bloque "tout", sauf l'accès au serveur qui
tourne en root et qui n'est pas sandboxé. oups.
Finalement, vu que je n'ai aucune intention de migrer en 10.5, je suis
In article <fgs16h$c7e$,
Je n'en ai pas en tête, mais c'est le principe qui compte.
Si demain une vulnérabilité critique est découverte dans ntpd (ou dans
samba, bonjour, ...), tu es cuit.
Les failles existent. MacOsX est aussi sensible que Windows. Personne ne
Et pourquoi ? Pas parce qu'Apple a
livré des versions vulnérables à un temps T (c'est pareil pour tout le
monde) mais parce qu'Apple a fait un firewall tout moisi, que les
sandbox ne sont pas activées, et que les démons sont encore lancés en
root alors que cela ne se fait plus depuis belle lurette sur les autres
OS.
In article <fgs16h$c7e$1@s1.news.oleane.net>,
Je n'en ai pas en tête, mais c'est le principe qui compte.
Si demain une vulnérabilité critique est découverte dans ntpd (ou dans
samba, bonjour, ...), tu es cuit.
Les failles existent. MacOsX est aussi sensible que Windows. Personne ne
Et pourquoi ? Pas parce qu'Apple a
livré des versions vulnérables à un temps T (c'est pareil pour tout le
monde) mais parce qu'Apple a fait un firewall tout moisi, que les
sandbox ne sont pas activées, et que les démons sont encore lancés en
root alors que cela ne se fait plus depuis belle lurette sur les autres
OS.
In article <fgs16h$c7e$,
Je n'en ai pas en tête, mais c'est le principe qui compte.
Si demain une vulnérabilité critique est découverte dans ntpd (ou dans
samba, bonjour, ...), tu es cuit.
Les failles existent. MacOsX est aussi sensible que Windows. Personne ne
Et pourquoi ? Pas parce qu'Apple a
livré des versions vulnérables à un temps T (c'est pareil pour tout le
monde) mais parce qu'Apple a fait un firewall tout moisi, que les
sandbox ne sont pas activées, et que les démons sont encore lancés en
root alors que cela ne se fait plus depuis belle lurette sur les autres
OS.
Je n'en ai pas en tête, mais c'est le principe qui compte.
Si demain une vulnérabilité critique est découverte dans ntpd (ou dans
samba, bonjour, ...), tu es cuit.
Les failles existent. MacOsX est aussi sensible que Windows. Personne ne
les exploite, à ce jour. Alors oui, il y a un hypothètique risque, mais
le risque que l'utilisateur plante sa machine tout seul est bien plus
important... ;)
Et pourquoi ? Pas parce qu'Apple a
livré des versions vulnérables à un temps T (c'est pareil pour tout le
monde) mais parce qu'Apple a fait un firewall tout moisi, que les
sandbox ne sont pas activées, et que les démons sont encore lancés en
root alors que cela ne se fait plus depuis belle lurette sur les autres
OS.
Le chroot/sandbox est configurable à la mimine, ou c'est trop compliqué
sous 10.5 ? Me suis jamais penché sur la question sur MacOsX (sur Linux,
si).
Je n'en ai pas en tête, mais c'est le principe qui compte.
Si demain une vulnérabilité critique est découverte dans ntpd (ou dans
samba, bonjour, ...), tu es cuit.
Les failles existent. MacOsX est aussi sensible que Windows. Personne ne
les exploite, à ce jour. Alors oui, il y a un hypothètique risque, mais
le risque que l'utilisateur plante sa machine tout seul est bien plus
important... ;)
Et pourquoi ? Pas parce qu'Apple a
livré des versions vulnérables à un temps T (c'est pareil pour tout le
monde) mais parce qu'Apple a fait un firewall tout moisi, que les
sandbox ne sont pas activées, et que les démons sont encore lancés en
root alors que cela ne se fait plus depuis belle lurette sur les autres
OS.
Le chroot/sandbox est configurable à la mimine, ou c'est trop compliqué
sous 10.5 ? Me suis jamais penché sur la question sur MacOsX (sur Linux,
si).
Je n'en ai pas en tête, mais c'est le principe qui compte.
Si demain une vulnérabilité critique est découverte dans ntpd (ou dans
samba, bonjour, ...), tu es cuit.
Les failles existent. MacOsX est aussi sensible que Windows. Personne ne
les exploite, à ce jour. Alors oui, il y a un hypothètique risque, mais
le risque que l'utilisateur plante sa machine tout seul est bien plus
important... ;)
Et pourquoi ? Pas parce qu'Apple a
livré des versions vulnérables à un temps T (c'est pareil pour tout le
monde) mais parce qu'Apple a fait un firewall tout moisi, que les
sandbox ne sont pas activées, et que les démons sont encore lancés en
root alors que cela ne se fait plus depuis belle lurette sur les autres
OS.
Le chroot/sandbox est configurable à la mimine, ou c'est trop compliqué
sous 10.5 ? Me suis jamais penché sur la question sur MacOsX (sur Linux,
si).
Bon, évidement, moi, c'est mon boulot d'administrer des réseaux. ;) Mon
réseau perso ressemble un peu à mes réseaux pro, à savoir le réseau,
lui, est protégé.
L'utilisateur ne sait même pas que ce que tu dit existe ;)
Finalement, vu que je n'ai aucune intention de migrer en 10.5, je suis
sauvé !
Bon, évidement, moi, c'est mon boulot d'administrer des réseaux. ;) Mon
réseau perso ressemble un peu à mes réseaux pro, à savoir le réseau,
lui, est protégé.
L'utilisateur ne sait même pas que ce que tu dit existe ;)
Finalement, vu que je n'ai aucune intention de migrer en 10.5, je suis
sauvé !
Bon, évidement, moi, c'est mon boulot d'administrer des réseaux. ;) Mon
réseau perso ressemble un peu à mes réseaux pro, à savoir le réseau,
lui, est protégé.
L'utilisateur ne sait même pas que ce que tu dit existe ;)
Finalement, vu que je n'ai aucune intention de migrer en 10.5, je suis
sauvé !
In article <fgseg5$iif$,
dommage, c'est joli, le Finder est bien revu, iChat devient vraiment
utilisable, Time Machine à l'air sympa (pas encore testé), ...
Vi... Mais je n'ai jamais acheté les MAJ Apple autrement qu'en achetant
In article <fgseg5$iif$1@s1.news.oleane.net>,
dommage, c'est joli, le Finder est bien revu, iChat devient vraiment
utilisable, Time Machine à l'air sympa (pas encore testé), ...
Vi... Mais je n'ai jamais acheté les MAJ Apple autrement qu'en achetant
In article <fgseg5$iif$,
dommage, c'est joli, le Finder est bien revu, iChat devient vraiment
utilisable, Time Machine à l'air sympa (pas encore testé), ...
Vi... Mais je n'ai jamais acheté les MAJ Apple autrement qu'en achetant
Si tu as l'occasion de toucher un 10.5, regarde ce qu'il y'a dans
/usr/share/sandbox/.
Ça resemble un truc pas très propre.
Si tu as l'occasion de toucher un 10.5, regarde ce qu'il y'a dans
/usr/share/sandbox/.
Ça resemble un truc pas très propre.
Si tu as l'occasion de toucher un 10.5, regarde ce qu'il y'a dans
/usr/share/sandbox/.
Ça resemble un truc pas très propre.