Les fichiers Word pouvant contenir des macro-virus, j'ai lu bien
souvent, ici et ailleurs, qu'il valait mieux échanger des fichiers au
format PDF.
Seulement voilà, j'ai récemment installé Acrobat Reader 7, dans lequel
(Adobe) Javascript est activé par défaut, et qui râle si on le
désactive (j'ai même dû bricoler un fichier à l'éditeur hexadécimal
pour me débarrasser du message d'erreur).
On a donc d'un côté Word 97 (je n'ai pas eu de version plus récente en
main) qui propose de désactiver les macros lors de l'ouverture d'un
.doc, et Adobe Reader qui fait tout pour que Javascript soit activé.
Du coup, je me pose sérieusement la question : est-il plus facile
d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ?
Ou, d'un autre point de vue : si je suis auteur de virus ou autre
cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe
Javascript plutôt que sur les macros Word ?
Merci d'avance pour vos réactions, conseils et insultes...
--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Du coup, je me pose sérieusement la question : est-il plus facile d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ?
Les puristes répondront que c'est le lecteur qu'il faut sécuriser et pas le fichier, et qu'il suffit donc d'utiliser d'autres lecteurs tels que gv ou xpdf.
Mais il est vrai que ces derniers n'ont pas toujours été exemplaires en matière de sécurité: http://archives.neohapsis.com/archives/fulldisclosure/2003-q2/1395.html http://www.securityfocus.com/bid/5840/discussion/
En tout cas merci d'avoir signalé cette irruption de Javascript chez Adobe, c'est assez troublant. La documentation parle d'envoyer des formulaires par email, d'intégrer du multimédia, d'intéragir avec bases SQL et web services, etc: http://partners.adobe.com/public/developer/en/acrobat/sdk/pdf/javascript/AcroJSGuide.pdf
AC
Fabien LE LEZ wrote:
Du coup, je me pose sérieusement la question : est-il plus facile
d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ?
Les puristes répondront que c'est le lecteur qu'il faut
sécuriser et pas le fichier, et qu'il suffit donc d'utiliser
d'autres lecteurs tels que gv ou xpdf.
Mais il est vrai que ces derniers n'ont pas toujours été
exemplaires en matière de sécurité:
http://archives.neohapsis.com/archives/fulldisclosure/2003-q2/1395.html
http://www.securityfocus.com/bid/5840/discussion/
En tout cas merci d'avoir signalé cette irruption de Javascript
chez Adobe, c'est assez troublant. La documentation parle
d'envoyer des formulaires par email, d'intégrer du multimédia,
d'intéragir avec bases SQL et web services, etc:
http://partners.adobe.com/public/developer/en/acrobat/sdk/pdf/javascript/AcroJSGuide.pdf
Du coup, je me pose sérieusement la question : est-il plus facile d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ?
Les puristes répondront que c'est le lecteur qu'il faut sécuriser et pas le fichier, et qu'il suffit donc d'utiliser d'autres lecteurs tels que gv ou xpdf.
Mais il est vrai que ces derniers n'ont pas toujours été exemplaires en matière de sécurité: http://archives.neohapsis.com/archives/fulldisclosure/2003-q2/1395.html http://www.securityfocus.com/bid/5840/discussion/
En tout cas merci d'avoir signalé cette irruption de Javascript chez Adobe, c'est assez troublant. La documentation parle d'envoyer des formulaires par email, d'intégrer du multimédia, d'intéragir avec bases SQL et web services, etc: http://partners.adobe.com/public/developer/en/acrobat/sdk/pdf/javascript/AcroJSGuide.pdf
AC
Patrick 'Zener' Brunet
Bonjour.
Bonjour,
Les fichiers Word pouvant contenir des macro-virus, j'ai lu bien souvent, ici et ailleurs, qu'il valait mieux échanger des fichiers au format PDF.
Seulement voilà, j'ai récemment installé Acrobat Reader 7, dans lequel (Adobe) Javascript est activé par défaut, et qui râle si on le désactive (j'ai même dû bricoler un fichier à l'éditeur hexadécimal pour me débarrasser du message d'erreur).
On a donc d'un côté Word 97 (je n'ai pas eu de version plus récente en main) qui propose de désactiver les macros lors de l'ouverture d'un .doc, et Adobe Reader qui fait tout pour que Javascript soit activé.
Du coup, je me pose sérieusement la question : est-il plus facile d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ? Ou, d'un autre point de vue : si je suis auteur de virus ou autre cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe Javascript plutôt que sur les macros Word ?
Je suis resté pour ma part sur Acrobat Reader 5.0, a priori parce qu'il se charge presque instantanément, comparativement à la version 6. Si elle apporte ça en plus, voilà une motivation supplémentaire.
Word n'apporte pas qu'un potentiel de macros, il apporte aussi toute une traçabilité des corrections successives faites sur le texte, des données personnelles, etc. Et si le document est seulement lu et transmis, les champs {INCLUDETEXT} par exemple permettent sans programmation de macro, de faire de la capture en douce de fichiers entiers !
Pratiquement, avec AR5.0, il m'arrive en ouvrant un document téléchargé, d'avoir un message d'erreur disant que certaines caractéristiques du document ne seront peut-être pas correctement affichées. Ca n'a jamais eu d'impact sur la lisibilité.
J'ai vu passer des articles de presse (APEC) expliquant que les recruteurs préfèrent recevoir des CV au format Word plutôt que PDF à cause de leur moindre poids ! Donc ils acceptent l'idée d'être vérolés par de petits plaisantins, et également de perdre complètement la mise en page ?
Quant au poids, il me semble bien que PDF est plus compact (et largement plus que Word avec imbrication des polices). Sauf si on utilise un générateur PDF de mauvaise qualité...
Donc AMHA tout dépend de son positionnement : mon PDFCreator me permet de générer des PDF corrects, et pour lire ceux des autres d'origine incertaine, je préfère me passer des nouveautés et de leurs "avantages" en restant sur une vieille version du Reader.
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Bonjour.
Bonjour,
Les fichiers Word pouvant contenir des macro-virus, j'ai lu bien
souvent, ici et ailleurs, qu'il valait mieux échanger des fichiers au
format PDF.
Seulement voilà, j'ai récemment installé Acrobat Reader 7, dans lequel
(Adobe) Javascript est activé par défaut, et qui râle si on le
désactive (j'ai même dû bricoler un fichier à l'éditeur hexadécimal
pour me débarrasser du message d'erreur).
On a donc d'un côté Word 97 (je n'ai pas eu de version plus récente en
main) qui propose de désactiver les macros lors de l'ouverture d'un
.doc, et Adobe Reader qui fait tout pour que Javascript soit activé.
Du coup, je me pose sérieusement la question : est-il plus facile
d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ?
Ou, d'un autre point de vue : si je suis auteur de virus ou autre
cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe
Javascript plutôt que sur les macros Word ?
Je suis resté pour ma part sur Acrobat Reader 5.0, a priori parce qu'il se
charge presque instantanément, comparativement à la version 6. Si elle
apporte ça en plus, voilà une motivation supplémentaire.
Word n'apporte pas qu'un potentiel de macros, il apporte aussi toute une
traçabilité des corrections successives faites sur le texte, des données
personnelles, etc. Et si le document est seulement lu et transmis, les
champs {INCLUDETEXT} par exemple permettent sans programmation de macro, de
faire de la capture en douce de fichiers entiers !
Pratiquement, avec AR5.0, il m'arrive en ouvrant un document téléchargé,
d'avoir un message d'erreur disant que certaines caractéristiques du
document ne seront peut-être pas correctement affichées. Ca n'a jamais eu
d'impact sur la lisibilité.
J'ai vu passer des articles de presse (APEC) expliquant que les recruteurs
préfèrent recevoir des CV au format Word plutôt que PDF à cause de leur
moindre poids ! Donc ils acceptent l'idée d'être vérolés par de petits
plaisantins, et également de perdre complètement la mise en page ?
Quant au poids, il me semble bien que PDF est plus compact (et largement
plus que Word avec imbrication des polices). Sauf si on utilise un
générateur PDF de mauvaise qualité...
Donc AMHA tout dépend de son positionnement : mon PDFCreator me permet de
générer des PDF corrects, et pour lire ceux des autres d'origine incertaine,
je préfère me passer des nouveautés et de leurs "avantages" en restant sur
une vieille version du Reader.
Cordialement,
--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/
Les fichiers Word pouvant contenir des macro-virus, j'ai lu bien souvent, ici et ailleurs, qu'il valait mieux échanger des fichiers au format PDF.
Seulement voilà, j'ai récemment installé Acrobat Reader 7, dans lequel (Adobe) Javascript est activé par défaut, et qui râle si on le désactive (j'ai même dû bricoler un fichier à l'éditeur hexadécimal pour me débarrasser du message d'erreur).
On a donc d'un côté Word 97 (je n'ai pas eu de version plus récente en main) qui propose de désactiver les macros lors de l'ouverture d'un .doc, et Adobe Reader qui fait tout pour que Javascript soit activé.
Du coup, je me pose sérieusement la question : est-il plus facile d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ? Ou, d'un autre point de vue : si je suis auteur de virus ou autre cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe Javascript plutôt que sur les macros Word ?
Je suis resté pour ma part sur Acrobat Reader 5.0, a priori parce qu'il se charge presque instantanément, comparativement à la version 6. Si elle apporte ça en plus, voilà une motivation supplémentaire.
Word n'apporte pas qu'un potentiel de macros, il apporte aussi toute une traçabilité des corrections successives faites sur le texte, des données personnelles, etc. Et si le document est seulement lu et transmis, les champs {INCLUDETEXT} par exemple permettent sans programmation de macro, de faire de la capture en douce de fichiers entiers !
Pratiquement, avec AR5.0, il m'arrive en ouvrant un document téléchargé, d'avoir un message d'erreur disant que certaines caractéristiques du document ne seront peut-être pas correctement affichées. Ca n'a jamais eu d'impact sur la lisibilité.
J'ai vu passer des articles de presse (APEC) expliquant que les recruteurs préfèrent recevoir des CV au format Word plutôt que PDF à cause de leur moindre poids ! Donc ils acceptent l'idée d'être vérolés par de petits plaisantins, et également de perdre complètement la mise en page ?
Quant au poids, il me semble bien que PDF est plus compact (et largement plus que Word avec imbrication des polices). Sauf si on utilise un générateur PDF de mauvaise qualité...
Donc AMHA tout dépend de son positionnement : mon PDFCreator me permet de générer des PDF corrects, et pour lire ceux des autres d'origine incertaine, je préfère me passer des nouveautés et de leurs "avantages" en restant sur une vieille version du Reader.
Cordialement,
-- /*************************************** * Patrick BRUNET * E-mail: lien sur http://zener131.free.fr/ContactMe ***************************************/
Fabien LE LEZ
On 20 May 2005 05:36:52 GMT, "A. Caspis" :
La documentation parle d'envoyer des formulaires par email, d'intégrer du multimédia, d'intéragir avec bases SQL et web services
Ce qui est peu adapté à l'affichage à l'écran d'un document "papier" (ou prévu pour être imprimé)... :-(
-- ;-)
On 20 May 2005 05:36:52 GMT, "A. Caspis" <a_caspis@yahoo.com>:
La documentation parle
d'envoyer des formulaires par email, d'intégrer du multimédia,
d'intéragir avec bases SQL et web services
Ce qui est peu adapté à l'affichage à l'écran d'un document "papier"
(ou prévu pour être imprimé)... :-(
Les puristes répondront que c'est le lecteur qu'il faut sécuriser et pas le fichier
Mais si le format est prévu pour intégrer du contenu actif, c'est bien le format le coupable, non ?
-- ;-)
Dominique Blas
[...]
Je suis resté pour ma part sur Acrobat Reader 5.0, a priori parce qu'il se charge presque instantanément, comparativement à la version 6. Si elle apporte ça en plus, voilà une motivation supplémentaire.
Word n'apporte pas qu'un potentiel de macros, il apporte aussi toute une traçabilité des corrections successives faites sur le texte, des données personnelles, etc. Et si le document est seulement lu et transmis, les champs {INCLUDETEXT} par exemple permettent sans programmation de macro, de faire de la capture en douce de fichiers entiers ! Word est un traitement de texte tandis que AR est sensé être un lecteur
seulement (comme Word Viewer).
Pratiquement, avec AR5.0, il m'arrive en ouvrant un document téléchargé, d'avoir un message d'erreur disant que certaines caractéristiques du document ne seront peut-être pas correctement affichées. Ca n'a jamais eu d'impact sur la lisibilité.
Kif, kif. A quoi ça sert de passer en AR6 ou 7 alors que le format lui-même n'a pas changé (1.3)) ? AR6 est un monstre de lourdeur alors qu'AR5 se charge presque instantanément même sur un PII 300. Il est bon que les usagers comprennent enfin, qu'en matière de logiciel, plus récent ne veut dire que rarement mieux. En voilà encore une preuve.
Toutefois il faut bien noter que Postscript (langage de description de page dont PDF est issu) permettait de faire bien autre chose que de la description de page (mais nécessaire pour celle-ci cependant) à savoir des calculs formels et des traitements de chaînes. On a donc également affaire à un contenu actif a priori non destructif sauf s'il existe une faille permettant d'exécuter des commandes externes au lecteur sous le compte de l'utilisateur. C'est toujours la même chose et cela concerne toutes les applications.
Enfin, Adobe est une sociéé commerciale et se doit donc de fournir de nouvelles versions régulièrement (ce dont le logiciel libre est dispensé, encore que ...). Alors même s'il n'y a pas de nouveauté flagrante dans la version 7 il faut tout de même montré qu'on a fait quelque chose. Et surtout depuis l'annonce du PDF microsoftien qui n'est en fait qu'un effet d'annonce.
J'ai vu passer des articles de presse (APEC) expliquant que les recruteurs préfèrent recevoir des CV au format Word plutôt que PDF à cause de leur moindre poids ! Donc ils acceptent l'idée d'être vérolés par de petits plaisantins, et également de perdre complètement la mise en page ?
Ce n'est pas la raison. La raison est : pour pouvoir les modifier.
Quant au poids, il me semble bien que PDF est plus compact (et largement plus que Word avec imbrication des polices). Sauf si on utilise un générateur PDF de mauvaise qualité...
Donc AMHA tout dépend de son positionnement : mon PDFCreator me permet de générer des PDF corrects, et pour lire ceux des autres d'origine incertaine, je préfère me passer des nouveautés et de leurs "avantages" en restant sur une vieille version du Reader.
Très bonne règle d'utilisateur sensé. Toutefois la plupart des utilisateurs ne le sont pas et sont avides de nouveautés. Ceci explique cela.
db
--
Courriel : usenet blas net
[...]
Je suis resté pour ma part sur Acrobat Reader 5.0, a priori parce qu'il se
charge presque instantanément, comparativement à la version 6. Si elle
apporte ça en plus, voilà une motivation supplémentaire.
Word n'apporte pas qu'un potentiel de macros, il apporte aussi toute une
traçabilité des corrections successives faites sur le texte, des données
personnelles, etc. Et si le document est seulement lu et transmis, les
champs {INCLUDETEXT} par exemple permettent sans programmation de macro, de
faire de la capture en douce de fichiers entiers !
Word est un traitement de texte tandis que AR est sensé être un lecteur
seulement (comme Word Viewer).
Pratiquement, avec AR5.0, il m'arrive en ouvrant un document téléchargé,
d'avoir un message d'erreur disant que certaines caractéristiques du
document ne seront peut-être pas correctement affichées. Ca n'a jamais eu
d'impact sur la lisibilité.
Kif, kif. A quoi ça sert de passer en AR6 ou 7 alors que le format
lui-même n'a pas changé (1.3)) ?
AR6 est un monstre de lourdeur alors qu'AR5 se charge presque
instantanément même sur un PII 300.
Il est bon que les usagers comprennent enfin, qu'en matière de logiciel,
plus récent ne veut dire que rarement mieux. En voilà encore une preuve.
Toutefois il faut bien noter que Postscript (langage de description de
page dont PDF est issu) permettait de faire bien autre chose que de la
description de page (mais nécessaire pour celle-ci cependant) à savoir
des calculs formels et des traitements de chaînes. On a donc également
affaire à un contenu actif a priori non destructif sauf s'il existe une
faille permettant d'exécuter des commandes externes au lecteur sous le
compte de l'utilisateur. C'est toujours la même chose et cela concerne
toutes les applications.
Enfin, Adobe est une sociéé commerciale et se doit donc de fournir de
nouvelles versions régulièrement (ce dont le logiciel libre est
dispensé, encore que ...). Alors même s'il n'y a pas de nouveauté
flagrante dans la version 7 il faut tout de même montré qu'on a fait
quelque chose.
Et surtout depuis l'annonce du PDF microsoftien qui n'est en fait qu'un
effet d'annonce.
J'ai vu passer des articles de presse (APEC) expliquant que les recruteurs
préfèrent recevoir des CV au format Word plutôt que PDF à cause de leur
moindre poids ! Donc ils acceptent l'idée d'être vérolés par de petits
plaisantins, et également de perdre complètement la mise en page ?
Ce n'est pas la raison. La raison est : pour pouvoir les modifier.
Quant au poids, il me semble bien que PDF est plus compact (et largement
plus que Word avec imbrication des polices). Sauf si on utilise un
générateur PDF de mauvaise qualité...
Donc AMHA tout dépend de son positionnement : mon PDFCreator me permet de
générer des PDF corrects, et pour lire ceux des autres d'origine incertaine,
je préfère me passer des nouveautés et de leurs "avantages" en restant sur
une vieille version du Reader.
Très bonne règle d'utilisateur sensé.
Toutefois la plupart des utilisateurs ne le sont pas et sont avides de
nouveautés. Ceci explique cela.
Je suis resté pour ma part sur Acrobat Reader 5.0, a priori parce qu'il se charge presque instantanément, comparativement à la version 6. Si elle apporte ça en plus, voilà une motivation supplémentaire.
Word n'apporte pas qu'un potentiel de macros, il apporte aussi toute une traçabilité des corrections successives faites sur le texte, des données personnelles, etc. Et si le document est seulement lu et transmis, les champs {INCLUDETEXT} par exemple permettent sans programmation de macro, de faire de la capture en douce de fichiers entiers ! Word est un traitement de texte tandis que AR est sensé être un lecteur
seulement (comme Word Viewer).
Pratiquement, avec AR5.0, il m'arrive en ouvrant un document téléchargé, d'avoir un message d'erreur disant que certaines caractéristiques du document ne seront peut-être pas correctement affichées. Ca n'a jamais eu d'impact sur la lisibilité.
Kif, kif. A quoi ça sert de passer en AR6 ou 7 alors que le format lui-même n'a pas changé (1.3)) ? AR6 est un monstre de lourdeur alors qu'AR5 se charge presque instantanément même sur un PII 300. Il est bon que les usagers comprennent enfin, qu'en matière de logiciel, plus récent ne veut dire que rarement mieux. En voilà encore une preuve.
Toutefois il faut bien noter que Postscript (langage de description de page dont PDF est issu) permettait de faire bien autre chose que de la description de page (mais nécessaire pour celle-ci cependant) à savoir des calculs formels et des traitements de chaînes. On a donc également affaire à un contenu actif a priori non destructif sauf s'il existe une faille permettant d'exécuter des commandes externes au lecteur sous le compte de l'utilisateur. C'est toujours la même chose et cela concerne toutes les applications.
Enfin, Adobe est une sociéé commerciale et se doit donc de fournir de nouvelles versions régulièrement (ce dont le logiciel libre est dispensé, encore que ...). Alors même s'il n'y a pas de nouveauté flagrante dans la version 7 il faut tout de même montré qu'on a fait quelque chose. Et surtout depuis l'annonce du PDF microsoftien qui n'est en fait qu'un effet d'annonce.
J'ai vu passer des articles de presse (APEC) expliquant que les recruteurs préfèrent recevoir des CV au format Word plutôt que PDF à cause de leur moindre poids ! Donc ils acceptent l'idée d'être vérolés par de petits plaisantins, et également de perdre complètement la mise en page ?
Ce n'est pas la raison. La raison est : pour pouvoir les modifier.
Quant au poids, il me semble bien que PDF est plus compact (et largement plus que Word avec imbrication des polices). Sauf si on utilise un générateur PDF de mauvaise qualité...
Donc AMHA tout dépend de son positionnement : mon PDFCreator me permet de générer des PDF corrects, et pour lire ceux des autres d'origine incertaine, je préfère me passer des nouveautés et de leurs "avantages" en restant sur une vieille version du Reader.
Très bonne règle d'utilisateur sensé. Toutefois la plupart des utilisateurs ne le sont pas et sont avides de nouveautés. Ceci explique cela.
db
--
Courriel : usenet blas net
Erwann ABALEA
Bonjour,
On Fri, 19 May 2005, Fabien LE LEZ wrote:
Du coup, je me pose sérieusement la question : est-il plus facile d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ? Ou, d'un autre point de vue : si je suis auteur de virus ou autre cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe Javascript plutôt que sur les macros Word ?
C'est génant ce Javascript. Dans le cadre de la signature électronique, je me suis penché sur les différentes versions du format PDF (1.3, 1.5 et 1.6), je me suis justement intéressé aux éléments variables. J'en ai conclu que le format PDF était propre (pour mon problème particulier). Même si du PostScript peut être intégré, il n'y a qu'un tout petit nombre de fonctions supportées, et aucune d'entre elles ne permet de faire varier le contenu du document en fonction d'informations extérieures au document (pas d'interaction avec l'utilisateur, et pas de générateur pseudo-aléatoire).
Maintenant, dans un contexte de sécurité, je n'ai pas vérifié qu'un lecteur de document PDF particulier n'était pas plus laxiste que ce que prévoit le standard.
Mais cette histoire de JavaScript, c'est vraiment génant. Le format 1.6 est récent (2004), s'ils ont prévu de sortir un 1.7 intégrant du JS, plus question de signer numériquement des documents PDF. Il ne restera plus que le bon vieux .txt...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- SP> Ah désolé, mais alors là Tristant il a bu le filtre Non, le philtre. C'est pas pareil. Je te renvoie à fr.sci.filo pour que tu conçoives la diphérence. -+- TP in Guide du neuneu sur Usenet - C'est phou, non ? -+-
Bonjour,
On Fri, 19 May 2005, Fabien LE LEZ wrote:
Du coup, je me pose sérieusement la question : est-il plus facile
d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ?
Ou, d'un autre point de vue : si je suis auteur de virus ou autre
cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe
Javascript plutôt que sur les macros Word ?
C'est génant ce Javascript. Dans le cadre de la signature électronique, je
me suis penché sur les différentes versions du format PDF (1.3, 1.5 et
1.6), je me suis justement intéressé aux éléments variables. J'en ai
conclu que le format PDF était propre (pour mon problème particulier).
Même si du PostScript peut être intégré, il n'y a qu'un tout petit nombre
de fonctions supportées, et aucune d'entre elles ne permet de faire varier
le contenu du document en fonction d'informations extérieures au document
(pas d'interaction avec l'utilisateur, et pas de générateur
pseudo-aléatoire).
Maintenant, dans un contexte de sécurité, je n'ai pas vérifié qu'un
lecteur de document PDF particulier n'était pas plus laxiste que ce que
prévoit le standard.
Mais cette histoire de JavaScript, c'est vraiment génant. Le format 1.6
est récent (2004), s'ils ont prévu de sortir un 1.7 intégrant du JS, plus
question de signer numériquement des documents PDF. Il ne restera plus que
le bon vieux .txt...
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
SP> Ah désolé, mais alors là Tristant il a bu le filtre
Non, le philtre. C'est pas pareil. Je te renvoie à fr.sci.filo
pour que tu conçoives la diphérence.
-+- TP in Guide du neuneu sur Usenet - C'est phou, non ? -+-
Du coup, je me pose sérieusement la question : est-il plus facile d'assurer la sécurité d'un fichier Word ou d'un fichier PDF ? Ou, d'un autre point de vue : si je suis auteur de virus ou autre cochonnerie du même style, n'ai-je pas intérêt à me pencher sur Adobe Javascript plutôt que sur les macros Word ?
C'est génant ce Javascript. Dans le cadre de la signature électronique, je me suis penché sur les différentes versions du format PDF (1.3, 1.5 et 1.6), je me suis justement intéressé aux éléments variables. J'en ai conclu que le format PDF était propre (pour mon problème particulier). Même si du PostScript peut être intégré, il n'y a qu'un tout petit nombre de fonctions supportées, et aucune d'entre elles ne permet de faire varier le contenu du document en fonction d'informations extérieures au document (pas d'interaction avec l'utilisateur, et pas de générateur pseudo-aléatoire).
Maintenant, dans un contexte de sécurité, je n'ai pas vérifié qu'un lecteur de document PDF particulier n'était pas plus laxiste que ce que prévoit le standard.
Mais cette histoire de JavaScript, c'est vraiment génant. Le format 1.6 est récent (2004), s'ils ont prévu de sortir un 1.7 intégrant du JS, plus question de signer numériquement des documents PDF. Il ne restera plus que le bon vieux .txt...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- SP> Ah désolé, mais alors là Tristant il a bu le filtre Non, le philtre. C'est pas pareil. Je te renvoie à fr.sci.filo pour que tu conçoives la diphérence. -+- TP in Guide du neuneu sur Usenet - C'est phou, non ? -+-
Fabien LE LEZ
On 20 May 2005 19:55:02 GMT, Erwann ABALEA :
Il ne restera plus que le bon vieux .txt...
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
On 20 May 2005 19:55:02 GMT, Erwann ABALEA <erwann@abalea.com>:
Il ne restera plus que le bon vieux .txt...
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
--
Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
-- Le grand site de la philosophie animale : <http://perso.edulang.com/philo/>
Erwann ABALEA
On Sat, 21 May 2005, Fabien LE LEZ wrote:
On 20 May 2005 19:55:02 GMT, Erwann ABALEA :
Il ne restera plus que le bon vieux .txt...
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
S'il n'y a pas de contenu dynamique, alors ça convient. Mais là encore, le format RTF n'est pas figé, il évolue, et je ne sais pas si j'ai pu me procurer la dernière version (c'est un format Microsoft).
<troll> Et ça m'embête d'utiliser un format de document Microsoft. :) </troll>
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- L'idée serait bonne si seulement beaucoup de personnes ne venaient pas sur internet sans avoir auparavant lue un bouquin qui leur aurait permis d'apprendre quelques règle non écrites mais relevant du bon sans -+- JB in GNU : Bien lire les règles non écrites à sans pour sens.
On Sat, 21 May 2005, Fabien LE LEZ wrote:
On 20 May 2005 19:55:02 GMT, Erwann ABALEA <erwann@abalea.com>:
Il ne restera plus que le bon vieux .txt...
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
S'il n'y a pas de contenu dynamique, alors ça convient. Mais là encore, le
format RTF n'est pas figé, il évolue, et je ne sais pas si j'ai pu me
procurer la dernière version (c'est un format Microsoft).
<troll>
Et ça m'embête d'utiliser un format de document Microsoft. :)
</troll>
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
L'idée serait bonne si seulement beaucoup de personnes ne venaient pas
sur internet sans avoir auparavant lue un bouquin qui leur aurait
permis d'apprendre quelques règle non écrites mais relevant du bon sans
-+- JB in GNU : Bien lire les règles non écrites à sans pour sens.
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
S'il n'y a pas de contenu dynamique, alors ça convient. Mais là encore, le format RTF n'est pas figé, il évolue, et je ne sais pas si j'ai pu me procurer la dernière version (c'est un format Microsoft).
<troll> Et ça m'embête d'utiliser un format de document Microsoft. :) </troll>
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- L'idée serait bonne si seulement beaucoup de personnes ne venaient pas sur internet sans avoir auparavant lue un bouquin qui leur aurait permis d'apprendre quelques règle non écrites mais relevant du bon sans -+- JB in GNU : Bien lire les règles non écrites à sans pour sens.
Xavier Roche
Fabien LE LEZ wrote:
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
Toutafé.
Tant qu'on y est, je dérive sur un autre problème plus grave qui concerne le format lui même (c'est valable encore plus pour les .doc & cie): plein de meta-data peuvent être planqués sans que l'auteur du document ne le sache, comme le nom de l'auteur original, la date de création, le temps d'édition, et j'en oublie sans doute. Le DOC est encore plus poilant: le mode "fast save" fragmente le fichier OLE en petits morceaux, qui peuvent subsister pendant plussieurs versions. Du genre, on efface la ligne "et surtout ne dit pas à cet imbécile de Dupont que nous allons prévenir Alice et Bob" pour pouvoir diffuser le document publiquement, et manque de bol la phrase est toujours planquée dans un chunk non recyclé.
Les formats "binaires" (càd "non exploitables par des yeux", comme du texte, du Rich text, du XML voire du PostScript) sont pour cette raison toujours potentiellement très sensibles.
Mais l'idée de coller du javascript dans un PDF est vraiment la pire horreur dont Adobe nous aura gratifié. Pourquoi pas du Java -- ou mieux, un ActiveX embedded -- pour pemettre des interactions via des interfaces natives ? Ce format devient une vraie poubelle.
Fabien LE LEZ wrote:
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
Toutafé.
Tant qu'on y est, je dérive sur un autre problème plus grave qui
concerne le format lui même (c'est valable encore plus pour les .doc &
cie): plein de meta-data peuvent être planqués sans que l'auteur du
document ne le sache, comme le nom de l'auteur original, la date de
création, le temps d'édition, et j'en oublie sans doute. Le DOC est
encore plus poilant: le mode "fast save" fragmente le fichier OLE en
petits morceaux, qui peuvent subsister pendant plussieurs versions. Du
genre, on efface la ligne "et surtout ne dit pas à cet imbécile de
Dupont que nous allons prévenir Alice et Bob" pour pouvoir diffuser le
document publiquement, et manque de bol la phrase est toujours planquée
dans un chunk non recyclé.
Les formats "binaires" (càd "non exploitables par des yeux", comme du
texte, du Rich text, du XML voire du PostScript) sont pour cette raison
toujours potentiellement très sensibles.
Mais l'idée de coller du javascript dans un PDF est vraiment la pire
horreur dont Adobe nous aura gratifié. Pourquoi pas du Java -- ou mieux,
un ActiveX embedded -- pour pemettre des interactions via des interfaces
natives ? Ce format devient une vraie poubelle.
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
Toutafé.
Tant qu'on y est, je dérive sur un autre problème plus grave qui concerne le format lui même (c'est valable encore plus pour les .doc & cie): plein de meta-data peuvent être planqués sans que l'auteur du document ne le sache, comme le nom de l'auteur original, la date de création, le temps d'édition, et j'en oublie sans doute. Le DOC est encore plus poilant: le mode "fast save" fragmente le fichier OLE en petits morceaux, qui peuvent subsister pendant plussieurs versions. Du genre, on efface la ligne "et surtout ne dit pas à cet imbécile de Dupont que nous allons prévenir Alice et Bob" pour pouvoir diffuser le document publiquement, et manque de bol la phrase est toujours planquée dans un chunk non recyclé.
Les formats "binaires" (càd "non exploitables par des yeux", comme du texte, du Rich text, du XML voire du PostScript) sont pour cette raison toujours potentiellement très sensibles.
Mais l'idée de coller du javascript dans un PDF est vraiment la pire horreur dont Adobe nous aura gratifié. Pourquoi pas du Java -- ou mieux, un ActiveX embedded -- pour pemettre des interactions via des interfaces natives ? Ce format devient une vraie poubelle.
Michel Arboi
On Sat May 21 2005 at 12:22, Fabien LE LEZ wrote:
Accessoirement, le RTF de notre ami Bill ne convient-il pas ?
Je crois bien que le RTF n'a pas été défini par MS. Et aussi que le RTF de MS ne suis pas exactement la spec. Mais je peux me tromper.
