J'utilise souvent les miniliens :
http://minilien.fr/
http://urlalacon.com/
http://tinyurl.com/
Et aujourd'hui je me pose une question : est-ce qu'il y a un risque à
cliquer sur un minilien ? Je pense par exemple à l'adresse d'une page
"louche" dans laquelle s'exécuterait un truc pas sympa.
Une autre manière de poser la question : est-ce qu'en arrivant sur une
page web on risque quelque chose si on ne clique pas et si on ne valide
rien ?
Un site, cela évite de se répéter et cela évite aussi qu'il y ait des commentaires de zigotos de service.
Même pas vrai, tu as eu plein de commentaires relatifs à ton site ici. On a toujours pas vu l'ombre d'une correction des erreurs signalées, mais bon là n'était pas le sujet.
J'ai juste dit que les miniliens, tu t'en moques en utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne. Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Ludo devait dire quelque chose comme ceci :
Un site, cela évite de se répéter et cela évite aussi
qu'il y ait des commentaires de zigotos de service.
Même pas vrai, tu as eu plein de commentaires relatifs à ton site ici.
On a toujours pas vu l'ombre d'une correction des erreurs signalées,
mais bon là n'était pas le sujet.
J'ai juste dit que les miniliens, tu t'en moques en
utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne.
Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de
NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Un site, cela évite de se répéter et cela évite aussi qu'il y ait des commentaires de zigotos de service.
Même pas vrai, tu as eu plein de commentaires relatifs à ton site ici. On a toujours pas vu l'ombre d'une correction des erreurs signalées, mais bon là n'était pas le sujet.
J'ai juste dit que les miniliens, tu t'en moques en utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne. Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Stephane Catteau
siger n'était pas loin de dire :
Ce n'était pas ma question. Mon erreur au début a été d'oublier de préciser pourquoi je parlais de miniliens : parce qu'on ne voit pas l'adresse sur laquelle on clique. Mais je l'ai dit ensuite.
Le problème de ta question, c'est que d'un certain côté elle n'a aucun sens. Que ce soit un minilien ou l'URL directe vers la page, le risque est exactement le même. Certes les pirates sont cons et utilisent des adresses du genre "host.domaine.tld/phising-banque/acceuil.html", mais dès lors que l'on fait un minimum attention ce ne sont pas eux qui sont à craindre. Du coup, qu'importe la lisibilité de l'URL, le résultat et les risques sont exactement les mêmes. Cela est d'autant plus vrai que le fiable www.tf1.fr (ou autre hein on s'en fout) peut parfaitement avoir été piraté. Il presentera moins de risques en apparence qu'un minilien qui dirigerait au fin fond d'un site serbo-malgache dont chaque niveau porte un nom à trois lettres et deux chiffres, mais dans les faits c'est à cause du premier que tu l'auras eu profond.
siger n'était pas loin de dire :
Ce n'était pas ma question. Mon erreur au début a été d'oublier de
préciser pourquoi je parlais de miniliens : parce qu'on ne voit pas
l'adresse sur laquelle on clique. Mais je l'ai dit ensuite.
Le problème de ta question, c'est que d'un certain côté elle n'a aucun
sens. Que ce soit un minilien ou l'URL directe vers la page, le risque
est exactement le même. Certes les pirates sont cons et utilisent des
adresses du genre "host.domaine.tld/phising-banque/acceuil.html", mais
dès lors que l'on fait un minimum attention ce ne sont pas eux qui sont
à craindre. Du coup, qu'importe la lisibilité de l'URL, le résultat et
les risques sont exactement les mêmes.
Cela est d'autant plus vrai que le fiable www.tf1.fr (ou autre hein on
s'en fout) peut parfaitement avoir été piraté. Il presentera moins de
risques en apparence qu'un minilien qui dirigerait au fin fond d'un
site serbo-malgache dont chaque niveau porte un nom à trois lettres et
deux chiffres, mais dans les faits c'est à cause du premier que tu
l'auras eu profond.
Ce n'était pas ma question. Mon erreur au début a été d'oublier de préciser pourquoi je parlais de miniliens : parce qu'on ne voit pas l'adresse sur laquelle on clique. Mais je l'ai dit ensuite.
Le problème de ta question, c'est que d'un certain côté elle n'a aucun sens. Que ce soit un minilien ou l'URL directe vers la page, le risque est exactement le même. Certes les pirates sont cons et utilisent des adresses du genre "host.domaine.tld/phising-banque/acceuil.html", mais dès lors que l'on fait un minimum attention ce ne sont pas eux qui sont à craindre. Du coup, qu'importe la lisibilité de l'URL, le résultat et les risques sont exactement les mêmes. Cela est d'autant plus vrai que le fiable www.tf1.fr (ou autre hein on s'en fout) peut parfaitement avoir été piraté. Il presentera moins de risques en apparence qu'un minilien qui dirigerait au fin fond d'un site serbo-malgache dont chaque niveau porte un nom à trois lettres et deux chiffres, mais dans les faits c'est à cause du premier que tu l'auras eu profond.
Jo Kerr
Stephane Catteau a utilisé son clavier pour écrire :
Ludo devait dire quelque chose comme ceci :
J'ai juste dit que les miniliens, tu t'en moques en utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne. Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Et Filezilla est le nom du client ou serveur FTP de Mozilla. Ludo a encore répondu trop vite.
-- In gold we trust (c)
Stephane Catteau a utilisé son clavier pour écrire :
Ludo devait dire quelque chose comme ceci :
J'ai juste dit que les miniliens, tu t'en moques en
utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne.
Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de
NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Et Filezilla est le nom du client ou serveur FTP de Mozilla.
Ludo a encore répondu trop vite.
Stephane Catteau a utilisé son clavier pour écrire :
Ludo devait dire quelque chose comme ceci :
J'ai juste dit que les miniliens, tu t'en moques en utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne. Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Et Filezilla est le nom du client ou serveur FTP de Mozilla. Ludo a encore répondu trop vite.
-- In gold we trust (c)
I N F O R A D I O
> Et Filezilla est le nom du client ou serveur FTP de Mozilla. Ludo a encore répondu trop vite.
C'est vrai... Mozilla + Noscript, comme indiqué sur mon site...
Cordialement, Ludovic http://inforadio.free.fr
>
Et Filezilla est le nom du client ou serveur FTP de Mozilla.
Ludo a encore répondu trop vite.
C'est vrai... Mozilla + Noscript, comme indiqué sur mon site...
> Et Filezilla est le nom du client ou serveur FTP de Mozilla. Ludo a encore répondu trop vite.
C'est vrai... Mozilla + Noscript, comme indiqué sur mon site...
Cordialement, Ludovic http://inforadio.free.fr
Erwan David
Jo Kerr écrivait :
Stephane Catteau a utilisé son clavier pour écrire :
Ludo devait dire quelque chose comme ceci :
J'ai juste dit que les miniliens, tu t'en moques en utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne. Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Et Filezilla est le nom du client ou serveur FTP de Mozilla. Ludo a encore répondu trop vite.
Non filezilla n'est pas d'origine mozilla.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Jo Kerr <jo.kerr@jo.invalid> écrivait :
Stephane Catteau a utilisé son clavier pour écrire :
Ludo devait dire quelque chose comme ceci :
J'ai juste dit que les miniliens, tu t'en moques en
utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne.
Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de
NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Et Filezilla est le nom du client ou serveur FTP de Mozilla.
Ludo a encore répondu trop vite.
Non filezilla n'est pas d'origine mozilla.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Stephane Catteau a utilisé son clavier pour écrire :
Ludo devait dire quelque chose comme ceci :
J'ai juste dit que les miniliens, tu t'en moques en utilisant NOSCRIPT de Filezilla.
Désolé, mais NoScript est de InformAction, une société italienne. Comme il suffit de regarder ce qu'il y a derrière le lien, "A propos de NoScript", est-ce à dire que tu ne l'utilises pas toi-même ?
Et Filezilla est le nom du client ou serveur FTP de Mozilla. Ludo a encore répondu trop vite.
Non filezilla n'est pas d'origine mozilla.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
siger
Stephane Catteau a écrit :
siger n'était pas loin de dire :
Ce n'était pas ma question. Mon erreur au début a été d'oublier de préciser pourquoi je parlais de miniliens : parce qu'on ne voit pas l'adresse sur laquelle on clique. Mais je l'ai dit ensuite.
Le problème de ta question, c'est que d'un certain côté elle n'a aucun sens. Que ce soit un minilien ou l'URL directe vers la page, le risque est exactement le même.
C'est juste, c'est pourquoi j'ai précisé dans ma question initiale :
"Une autre manière de poser la question : est-ce qu'en arrivant sur une page web on risque quelque chose si on ne clique pas et si on ne valide rien ?"
et que voiyant que ce n'était pas suffisant j'ai précisé dans un autre message :
"si je parle des miniliens, c'est parce qu'avec les liens en clair on peut avoir une idée de là où on va."
Certes les pirates sont cons et utilisent des adresses du genre "host.domaine.tld/phising-banque/acceuil.html", mais dès lors que l'on fait un minimum attention ce ne sont pas eux qui sont à craindre. Du coup, qu'importe la lisibilité de l'URL, le résultat et les risques sont exactement les mêmes. Cela est d'autant plus vrai que le fiable www.tf1.fr (ou autre hein on s'en fout) peut parfaitement avoir été piraté. Il presentera moins de risques en apparence qu'un minilien qui dirigerait au fin fond d'un site serbo-malgache dont chaque niveau porte un nom à trois lettres et deux chiffres, mais dans les faits c'est à cause du premier que tu l'auras eu profond.
Je suis d'accord aussi.
-- siger
Stephane Catteau a écrit :
siger n'était pas loin de dire :
Ce n'était pas ma question. Mon erreur au début a été d'oublier
de préciser pourquoi je parlais de miniliens : parce qu'on ne
voit pas l'adresse sur laquelle on clique. Mais je l'ai dit
ensuite.
Le problème de ta question, c'est que d'un certain côté elle n'a
aucun
sens. Que ce soit un minilien ou l'URL directe vers la page, le
risque est exactement le même.
C'est juste, c'est pourquoi j'ai précisé dans ma question initiale :
"Une autre manière de poser la question : est-ce qu'en arrivant sur une
page web on risque quelque chose si on ne clique pas et si on ne valide
rien ?"
et que voiyant que ce n'était pas suffisant j'ai précisé dans un autre
message :
"si je parle des miniliens, c'est parce qu'avec les liens en clair on
peut avoir une idée de là où on va."
Certes les pirates sont cons et
utilisent des adresses du genre
"host.domaine.tld/phising-banque/acceuil.html", mais dès lors que
l'on fait un minimum attention ce ne sont pas eux qui sont à
craindre. Du coup, qu'importe la lisibilité de l'URL, le résultat
et les risques sont exactement les mêmes.
Cela est d'autant plus vrai que le fiable www.tf1.fr (ou autre
hein on
s'en fout) peut parfaitement avoir été piraté. Il presentera moins
de risques en apparence qu'un minilien qui dirigerait au fin fond
d'un site serbo-malgache dont chaque niveau porte un nom à trois
lettres et deux chiffres, mais dans les faits c'est à cause du
premier que tu l'auras eu profond.
Ce n'était pas ma question. Mon erreur au début a été d'oublier de préciser pourquoi je parlais de miniliens : parce qu'on ne voit pas l'adresse sur laquelle on clique. Mais je l'ai dit ensuite.
Le problème de ta question, c'est que d'un certain côté elle n'a aucun sens. Que ce soit un minilien ou l'URL directe vers la page, le risque est exactement le même.
C'est juste, c'est pourquoi j'ai précisé dans ma question initiale :
"Une autre manière de poser la question : est-ce qu'en arrivant sur une page web on risque quelque chose si on ne clique pas et si on ne valide rien ?"
et que voiyant que ce n'était pas suffisant j'ai précisé dans un autre message :
"si je parle des miniliens, c'est parce qu'avec les liens en clair on peut avoir une idée de là où on va."
Certes les pirates sont cons et utilisent des adresses du genre "host.domaine.tld/phising-banque/acceuil.html", mais dès lors que l'on fait un minimum attention ce ne sont pas eux qui sont à craindre. Du coup, qu'importe la lisibilité de l'URL, le résultat et les risques sont exactement les mêmes. Cela est d'autant plus vrai que le fiable www.tf1.fr (ou autre hein on s'en fout) peut parfaitement avoir été piraté. Il presentera moins de risques en apparence qu'un minilien qui dirigerait au fin fond d'un site serbo-malgache dont chaque niveau porte un nom à trois lettres et deux chiffres, mais dans les faits c'est à cause du premier que tu l'auras eu profond.
Je suis d'accord aussi.
-- siger
Stephane Catteau
siger n'était pas loin de dire :
"Une autre manière de poser la question : est-ce qu'en arrivant sur une page web on risque quelque chose si on ne clique pas et si on ne valide rien ?"
Oui, non, peut-être.
1) Le site peut-être celui d'un petit malin qui te veux du mal. Il y a des dizaines de scripts viraux chargés et exécutés en même temps que la page, en javascript/jscript et vbscript pour être sûr de toucher un maximum de personnes, les animations flash exploitent toutes les failles connues et en plus la moitié du contenu est en pdf (et exploitent toutes les failles connues). Tu es dans la merde là ;)
2) Le site utilise quelques scripts, mais ce sont des scripts distants (situé sur un autre serveur). C'est de plus en plus fréquent avec l'avènement du web 2.0, l'exemple le plus fréquement vue étant les différents services de Google. L'intégrité du site n'a jamais été compromise, mais l'hébergeur des scripts a été piraté et les scripts sont vérolés jusqu'à la moëlle. Si tu autorises les scripts à s'exécuter, tu es foutu.
3) Le site a été compromis, il inclu un script virus. Le cas a été abordé ici l'année dernière si je ne me trompe pas. Si tu autorises les scripts à s'exécuter, tu es foutu.
4) Le site n'utilise aucun script, mais dispose de quelques banières publicitaires en flash. Le serveur de la régie publicitaire a été piraté, les banières sont corrompues. Si ton client Flash n'est pas parfaitement à jour, ou si la failles n'a pas encore été publiée/corrigée, et si tu autorises les objects flash, tu es foutu.
5) Variation du point 3, mais concernant les objects flash. Même conséquences que pour le point 4.
6) et 7) Même chose que précédement mais avec un objet pdf. Si tu ouvres le fichier pdf avec un client non à jour, ou si la faille n'a pas encore été publiée/corrigée, tu es foutu.
8) et 9) Même chose que précédemet mais avec une image (voir la faille de la libjpeg). Si tu regardes l'image et que ton système n'est pas à jour ou que la faille n'a pas encore été publiée/corrigée, tu es foutu.
10) et 11) Même chose que précédement, mais avec une vidéo. A ce jour il ne me semble pas qu'il y ait eu une faille à ce niveau là, mais entre les vidéos "actives" (en fait des objects flash camouflés) et les divers buffer overflow possible, pourquoi pas un jour. Même conséquences que précédement, mais avec le lecteur de fichiers multimédia.
12 et 13) Même chose que précédement mais avec une musique. Là aussi il ne me semble pas qu'il y ait déjà eu une faille, mais un buffer overflow n'est pas à exclure un jour. Même conséquences une fois de plus, toujours avec le lecteur de fichiers multimédia.
Je crois que j'ai fait le tour, mais vu que l'évolution de (x)HTML est vers le tout actif, rien n'empèche qu'à l'avenir une banale page HTML se transforme en bombe atomique. En tout état de cause, comme je l'ai dit précédement le site en lui-même et la confiance que tu lui accordes ne signifient plus grand chose. Il fut un temps où l'on pouvait aller les yeux fermés sur des sites tels que france2.fr (histoire de changer), mais ce n'est plus le cas. Entre les librairies javascript liée directement depuis le site d'un prestataire de service et les différentes banières publicitaires, la majeure partie du contenu à risque proviens de sites tiers dont tu ignores tout, y compris la confiance que tu peux avoir en eux ; sites d'autant plus sensibles à une attaque qu'ils sont connus pour diffuser leur contenu à travers le web et constituent donc un vecteur d'infection de tout premier choix. Imagine un instant que le site hébergeant tous les scripts de google soit piratés, en un instant des millions de sites deviendront vecteurs d'infection et avant la fin de la journée 75% des ordinateurs vulnérables seront infectés.
Note pour le lecteur paranoïaque : Tout ceci est la réalité, mais tout ceci, surtout la dernière phrase, à peut de chance d'arriver. Un navigateur web bien configuré (voir <http://www.malekal.com/>) et tournant dans un bac à sable, une mise à jour systématique des clients flash et pdf, et enfin une approche saine du web, suffisent à réduire considérablement les risques.
siger n'était pas loin de dire :
"Une autre manière de poser la question : est-ce qu'en arrivant sur une
page web on risque quelque chose si on ne clique pas et si on ne valide
rien ?"
Oui, non, peut-être.
1) Le site peut-être celui d'un petit malin qui te veux du mal. Il y a
des dizaines de scripts viraux chargés et exécutés en même temps que la
page, en javascript/jscript et vbscript pour être sûr de toucher un
maximum de personnes, les animations flash exploitent toutes les
failles connues et en plus la moitié du contenu est en pdf (et
exploitent toutes les failles connues). Tu es dans la merde là ;)
2) Le site utilise quelques scripts, mais ce sont des scripts distants
(situé sur un autre serveur). C'est de plus en plus fréquent avec
l'avènement du web 2.0, l'exemple le plus fréquement vue étant les
différents services de Google. L'intégrité du site n'a jamais été
compromise, mais l'hébergeur des scripts a été piraté et les scripts
sont vérolés jusqu'à la moëlle. Si tu autorises les scripts à
s'exécuter, tu es foutu.
3) Le site a été compromis, il inclu un script virus. Le cas a été
abordé ici l'année dernière si je ne me trompe pas. Si tu autorises les
scripts à s'exécuter, tu es foutu.
4) Le site n'utilise aucun script, mais dispose de quelques banières
publicitaires en flash. Le serveur de la régie publicitaire a été
piraté, les banières sont corrompues. Si ton client Flash n'est pas
parfaitement à jour, ou si la failles n'a pas encore été
publiée/corrigée, et si tu autorises les objects flash, tu es foutu.
5) Variation du point 3, mais concernant les objects flash. Même
conséquences que pour le point 4.
6) et 7) Même chose que précédement mais avec un objet pdf. Si tu
ouvres le fichier pdf avec un client non à jour, ou si la faille n'a
pas encore été publiée/corrigée, tu es foutu.
8) et 9) Même chose que précédemet mais avec une image (voir la faille
de la libjpeg). Si tu regardes l'image et que ton système n'est pas à
jour ou que la faille n'a pas encore été publiée/corrigée, tu es foutu.
10) et 11) Même chose que précédement, mais avec une vidéo. A ce jour
il ne me semble pas qu'il y ait eu une faille à ce niveau là, mais
entre les vidéos "actives" (en fait des objects flash camouflés) et les
divers buffer overflow possible, pourquoi pas un jour. Même
conséquences que précédement, mais avec le lecteur de fichiers
multimédia.
12 et 13) Même chose que précédement mais avec une musique. Là aussi
il ne me semble pas qu'il y ait déjà eu une faille, mais un buffer
overflow n'est pas à exclure un jour. Même conséquences une fois de
plus, toujours avec le lecteur de fichiers multimédia.
Je crois que j'ai fait le tour, mais vu que l'évolution de (x)HTML est
vers le tout actif, rien n'empèche qu'à l'avenir une banale page HTML
se transforme en bombe atomique.
En tout état de cause, comme je l'ai dit précédement le site en
lui-même et la confiance que tu lui accordes ne signifient plus grand
chose. Il fut un temps où l'on pouvait aller les yeux fermés sur des
sites tels que france2.fr (histoire de changer), mais ce n'est plus le
cas. Entre les librairies javascript liée directement depuis le site
d'un prestataire de service et les différentes banières publicitaires,
la majeure partie du contenu à risque proviens de sites tiers dont tu
ignores tout, y compris la confiance que tu peux avoir en eux ; sites
d'autant plus sensibles à une attaque qu'ils sont connus pour diffuser
leur contenu à travers le web et constituent donc un vecteur
d'infection de tout premier choix. Imagine un instant que le site
hébergeant tous les scripts de google soit piratés, en un instant des
millions de sites deviendront vecteurs d'infection et avant la fin de
la journée 75% des ordinateurs vulnérables seront infectés.
Note pour le lecteur paranoïaque : Tout ceci est la réalité, mais tout
ceci, surtout la dernière phrase, à peut de chance d'arriver. Un
navigateur web bien configuré (voir <http://www.malekal.com/>) et
tournant dans un bac à sable, une mise à jour systématique des clients
flash et pdf, et enfin une approche saine du web, suffisent à réduire
considérablement les risques.
"Une autre manière de poser la question : est-ce qu'en arrivant sur une page web on risque quelque chose si on ne clique pas et si on ne valide rien ?"
Oui, non, peut-être.
1) Le site peut-être celui d'un petit malin qui te veux du mal. Il y a des dizaines de scripts viraux chargés et exécutés en même temps que la page, en javascript/jscript et vbscript pour être sûr de toucher un maximum de personnes, les animations flash exploitent toutes les failles connues et en plus la moitié du contenu est en pdf (et exploitent toutes les failles connues). Tu es dans la merde là ;)
2) Le site utilise quelques scripts, mais ce sont des scripts distants (situé sur un autre serveur). C'est de plus en plus fréquent avec l'avènement du web 2.0, l'exemple le plus fréquement vue étant les différents services de Google. L'intégrité du site n'a jamais été compromise, mais l'hébergeur des scripts a été piraté et les scripts sont vérolés jusqu'à la moëlle. Si tu autorises les scripts à s'exécuter, tu es foutu.
3) Le site a été compromis, il inclu un script virus. Le cas a été abordé ici l'année dernière si je ne me trompe pas. Si tu autorises les scripts à s'exécuter, tu es foutu.
4) Le site n'utilise aucun script, mais dispose de quelques banières publicitaires en flash. Le serveur de la régie publicitaire a été piraté, les banières sont corrompues. Si ton client Flash n'est pas parfaitement à jour, ou si la failles n'a pas encore été publiée/corrigée, et si tu autorises les objects flash, tu es foutu.
5) Variation du point 3, mais concernant les objects flash. Même conséquences que pour le point 4.
6) et 7) Même chose que précédement mais avec un objet pdf. Si tu ouvres le fichier pdf avec un client non à jour, ou si la faille n'a pas encore été publiée/corrigée, tu es foutu.
8) et 9) Même chose que précédemet mais avec une image (voir la faille de la libjpeg). Si tu regardes l'image et que ton système n'est pas à jour ou que la faille n'a pas encore été publiée/corrigée, tu es foutu.
10) et 11) Même chose que précédement, mais avec une vidéo. A ce jour il ne me semble pas qu'il y ait eu une faille à ce niveau là, mais entre les vidéos "actives" (en fait des objects flash camouflés) et les divers buffer overflow possible, pourquoi pas un jour. Même conséquences que précédement, mais avec le lecteur de fichiers multimédia.
12 et 13) Même chose que précédement mais avec une musique. Là aussi il ne me semble pas qu'il y ait déjà eu une faille, mais un buffer overflow n'est pas à exclure un jour. Même conséquences une fois de plus, toujours avec le lecteur de fichiers multimédia.
Je crois que j'ai fait le tour, mais vu que l'évolution de (x)HTML est vers le tout actif, rien n'empèche qu'à l'avenir une banale page HTML se transforme en bombe atomique. En tout état de cause, comme je l'ai dit précédement le site en lui-même et la confiance que tu lui accordes ne signifient plus grand chose. Il fut un temps où l'on pouvait aller les yeux fermés sur des sites tels que france2.fr (histoire de changer), mais ce n'est plus le cas. Entre les librairies javascript liée directement depuis le site d'un prestataire de service et les différentes banières publicitaires, la majeure partie du contenu à risque proviens de sites tiers dont tu ignores tout, y compris la confiance que tu peux avoir en eux ; sites d'autant plus sensibles à une attaque qu'ils sont connus pour diffuser leur contenu à travers le web et constituent donc un vecteur d'infection de tout premier choix. Imagine un instant que le site hébergeant tous les scripts de google soit piratés, en un instant des millions de sites deviendront vecteurs d'infection et avant la fin de la journée 75% des ordinateurs vulnérables seront infectés.
Note pour le lecteur paranoïaque : Tout ceci est la réalité, mais tout ceci, surtout la dernière phrase, à peut de chance d'arriver. Un navigateur web bien configuré (voir <http://www.malekal.com/>) et tournant dans un bac à sable, une mise à jour systématique des clients flash et pdf, et enfin une approche saine du web, suffisent à réduire considérablement les risques.
Fabien LE LEZ
On Mon, 01 Mar 2010 23:03:02 +0100, Stephane Catteau :
[...] suffisent à réduire considérablement les risques.
Par ailleurs, autant accepter l'idée que tu récupéreras une cochonnerie un jour, et être prêt à en mitiger les conséquences : - avoir un système de backup fonctionnel, pour les données *et* le système ; - te renseigner auprès de ta banque pour savoir quelles sont les démarches en cas de vol de ton numéro de CB ; - t'assurer que les autres machines du réseau (y compris le modem-routeur ADSL) sont protégées contre ta machine. etc.
On Mon, 01 Mar 2010 23:03:02 +0100, Stephane Catteau
<steph.nospam@sc4x.net>:
[...] suffisent à réduire considérablement les risques.
Par ailleurs, autant accepter l'idée que tu récupéreras une
cochonnerie un jour, et être prêt à en mitiger les conséquences :
- avoir un système de backup fonctionnel, pour les données *et*
le système ;
- te renseigner auprès de ta banque pour savoir quelles sont les
démarches en cas de vol de ton numéro de CB ;
- t'assurer que les autres machines du réseau (y compris le
modem-routeur ADSL) sont protégées contre ta machine.
etc.
On Mon, 01 Mar 2010 23:03:02 +0100, Stephane Catteau :
[...] suffisent à réduire considérablement les risques.
Par ailleurs, autant accepter l'idée que tu récupéreras une cochonnerie un jour, et être prêt à en mitiger les conséquences : - avoir un système de backup fonctionnel, pour les données *et* le système ; - te renseigner auprès de ta banque pour savoir quelles sont les démarches en cas de vol de ton numéro de CB ; - t'assurer que les autres machines du réseau (y compris le modem-routeur ADSL) sont protégées contre ta machine. etc.
"Stephane Catteau" a écrit dans le message de news:
En tout état de cause, comme je l'ai dit précédement le site en lui-même et la confiance que tu lui accordes ne signifient plus grand chose. Il fut un temps où l'on pouvait aller les yeux fermés sur des sites tels que france2.fr (histoire de changer), mais ce n'est plus le cas. Entre les librairies javascript liée directement depuis le site d'un prestataire de service et les différentes banières publicitaires, la majeure partie du contenu à risque proviens de sites tiers dont tu ignores tout, y compris la confiance que tu peux avoir en eux ;
S'agissant de regies publicitaires, j'ai personnellement une petit idee reflexe acquises au fil des demarches commerciales telephoniques (ou autres) non sollicitées : AUCUNE CONFIANCE !
Mais je suis sans doute un escargot paranoiaque.
-- Cordialement, Az Sam.
"Stephane Catteau" <steph.nospam@sc4x.net> a écrit dans le message de news:
mn.0d677da388680acd.30736@sc4x.org...
En tout état de cause, comme je l'ai dit précédement le site en
lui-même et la confiance que tu lui accordes ne signifient plus grand
chose. Il fut un temps où l'on pouvait aller les yeux fermés sur des
sites tels que france2.fr (histoire de changer), mais ce n'est plus le
cas. Entre les librairies javascript liée directement depuis le site
d'un prestataire de service et les différentes banières publicitaires,
la majeure partie du contenu à risque proviens de sites tiers dont tu
ignores tout, y compris la confiance que tu peux avoir en eux ;
S'agissant de regies publicitaires, j'ai personnellement une petit idee
reflexe acquises au fil des demarches commerciales telephoniques (ou autres)
non sollicitées : AUCUNE CONFIANCE !
"Stephane Catteau" a écrit dans le message de news:
En tout état de cause, comme je l'ai dit précédement le site en lui-même et la confiance que tu lui accordes ne signifient plus grand chose. Il fut un temps où l'on pouvait aller les yeux fermés sur des sites tels que france2.fr (histoire de changer), mais ce n'est plus le cas. Entre les librairies javascript liée directement depuis le site d'un prestataire de service et les différentes banières publicitaires, la majeure partie du contenu à risque proviens de sites tiers dont tu ignores tout, y compris la confiance que tu peux avoir en eux ;
S'agissant de regies publicitaires, j'ai personnellement une petit idee reflexe acquises au fil des demarches commerciales telephoniques (ou autres) non sollicitées : AUCUNE CONFIANCE !
