[long] HF Client/Serveur censure?

Le
Daniel
Ci-joint copie d'une rponse que j'avais fait en face et qui ne semble
pas passer la modration.

Pour info, hier j'avais demand ed-enligne d'expliquer comment faire
fonctionner le moteur de HF sous un autre user que root, et j'avais
fait rfrence au site http://www.iana.org/assignments/port-numbers
en recopiant l'entte du fichier qui indique :

* PLEASE NOTE THE FOLLOWING: *
* *
* 1. UNASSIGNED PORT NUMBERS SHOULD NOT BE USED. THE IANA WILL ASSIGN *
* THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS BEEN APPROVED.


Ce message n'a pas pass la modration

par curiosist j'ai fait un nmap sur kalanda.net

[daniel@doudou daniel]$ nmap kalanda.net -p4900

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on ks.kalanda.net (80.245.60.37):
Port State Service
4900/tcp open unknown


autre point o il serait intressant d'avoir une rponse c'est sur le
comportement du serveur sur un telnet.
Je m'explique sur les hbergeurs de MySQL un telnet serveur 3306 rend (d=
connexion)
la main trs rapidement, sur le port 4900 ce n'est pas automatique.

Ci-joint copie d'une autre rponse que j'avais fait en face et qui ne sem=
ble
pas passer la modration.


Newsgroups: pcsoft.fr.windev
Subject: Re: HF C/S sur internet
References: <m24q7mmxip.fsf@doudou.coul.fr> <434f0478$1@news.pcsoft.fr>
--text follows this line--
"Heiniger Marcel" <heiniger@mhi.ch> writes:

> >Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un
> >risque potentiel de crer une faille de scurit.
>
> >D'aprs toi pourquoi il y a des worms qui utilisent les ports ouverts
> >pour infecter les machines.
>
> Le ports ouverts N'EST PAS la faille de scurit. C'est comme dans un
> chateau fort, un port coresspond un lmant des rampart.
>
> si derire cet lment il y as un cannon la scurit est bonne =
si
> derire c'est parcontre juste une porte en bois pourie c'est par l
> que les assaillant vont entr la porte.
>
> Faut dire ton fournisseur que s'il veux faire une forteresse comme
> celle de Vauban (bellefort & Besanon) qui n'on jamais t envailli=
e,
> il doit faire les manips suivantes.
>
> - dsactiver tous les scripts sur le serveur comme php,ASP,perl plus
> de 50% des failles de scurite seront donc bouche.
>
> - dsactiver apache,IIS je lis min 1x/mois des nouvelles failles de
> scus.
>
> - dsactiver le FTP le clients pourais faire rentre un virus,un vert,
> un rootkit,
>
> - retirer le systme dexploitations comme Winows(1 des plus grand
> virus), linux
>
> - Retirer les cables rseau, sans cable rseau plus de ports ouvert et
> aucun assaillant ne viendra par le rseau.
>
> - teindre le serveur, il pourais y avoir une attaque par surtention.
>
> - mettre le serveur dans un coffre fort.
>
> - mettre le coffre dans une cage de faradey qui elle est dans un abris
> atomique.
>
> ah joubliais faut encore faire une copie de sauvegarge, un disque ne
> vis qeu env. 20-25 ans et faire en sorte que lui connaissant l'accs
> soit falcher par un norolisatieur des MIB
>
> La je crois qu'il aura bien fait sons travail et scuris son serveur
> !
>
> Mais quelle prix plus personne du tous n'auras accs ca
> forteresse!!!
>
>
> Vous aurez surement compris que je plaiusantais et que j'allais dans
> les extrmes. Notre boulot d'administrateur c'est de rendre services
> nos clients.

Oui

> S'il on besoin douvrir un port pour tel ou tel aplication on le fait,
> si on connais pas bien l'api, on la met dans un espace schrooter et on
> fait notre boulot on surveille et on limite les dgat.
>
3 questions :
- comment mettre faire fonctionner le moteur HF sur un user diffrent
de root?
- comment chrooter HF?
- peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
attribuer, et qu'il faut en faire la demande l'IANA?

Une remarque d'ordre gnrale, Oui il n'y a pas plus de raison d'avoir
des trous de scurits qu'avec d'autres bases. Une seconde remarque,
il suffit de regarder les "rules" de snort pour voir que
malheureusement c'est souvent sur les systmes propritaires o il y a
plus de failles (netbios, oracle)



--
suivre ce lien pour rpondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
  • Partager ce contenu :
Vos réponses Page 1 / 2
Trier par : date / pertinence
sebNews
Le #14153641
Bonjour,

En fait la discussion "d'en face" montre bien le peu
d'informations techniques dont nous disposons sur HF C/S

Ce qui en ressort sur l'ouvertue d'un port, c'est que la sécurité
dépend de ce qui tourne sur ce port ( ici le serveur HF C/S ).

Quand à l'info que tu communiques, c'est en effet à creuser.


Sébastien
Vincent
Le #14153571
Daniel a écrit :

- peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
attribuer, et qu'il faut en faire la demande à l'IANA?





Du même ordre, Qu'est-ce qui t'empêche utiliser le port 4080 pour ton
serveur web et le 4021 pour ton serveur FTP ?

La norme veut que certain service soit associé à des ports bien
déterminés mai sje ne vois pas en quoi c'est une obligation.

Vincent.
Daniel
Le #14153561
Vincent
Daniel a écrit :

> - peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
> attribuer, et qu'il faut en faire la demande à l'IANA?
>
>

Du même ordre, Qu'est-ce qui t'empêche utiliser le port 4080 pour ton
serveur web et le 4021 pour ton serveur FTP ?



le 4080 n'est pas assigné, le 4021 est assigné.

Il y a tout un protocol pour faire qu'un port non assigné le
devienne. Dans ce cas on le fait.

Cf http://www.iana.org

Si on ne veut pas faire cette démarche d'assignation dans ce cas on
fait ce qui écrit :


"DYNAMIC AND/OR PRIVATE PORTS
The Dynamic and/or Private Ports are those from 49152 through 65535"

La norme veut que certain service soit associé à des ports bien
déterminés mai sje ne vois pas en quoi c'est une obligation.

Vincent.




Ja ne sais pas si il s'agit d'une obligation ( quoique), mais le jour
que par exemple le routage sur l'Internet de port non assigné ne
sera plus permis, il faudra pas venir raler. Ou plus simple, Microsoft
demande l'assignation de ce port.

A partir du moment qu'on décide d'aller sur l'Internet, on essaie de
respecter son fonctionnement et les normes, sinon on reste en intranet.


Pour arriver à la conclusion, que PCSoft documente sa base, fasse
assigné le port après on pourra parler de procédure.

Maintenant rien empêche d'ouvrir un port entre 49152-65535 qu'on
redirige sur le 4900 en interne.

Concernant WebDev et HF C/S la question ne se pose pas car dans ce cas
on passe par le web.

--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
Vincent
Le #14153551
Daniel a écrit :
Vincent

Daniel a écrit :


- peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
attribuer, et qu'il faut en faire la demande à l'IANA?





Du même ordre, Qu'est-ce qui t'empêche utiliser le port 4080 pour ton
serveur web et le 4021 pour ton serveur FTP ?




le 4080 n'est pas assigné, le 4021 est assigné.

Il y a tout un protocol pour faire qu'un port non assigné le
devienne. Dans ce cas on le fait.

Cf http://www.iana.org

Si on ne veut pas faire cette démarche d'assignation dans ce cas on
fait ce qui écrit :


"DYNAMIC AND/OR PRIVATE PORTS
The Dynamic and/or Private Ports are those from 49152 through 65535"


La norme veut que certain service soit associé à des ports bien
déterminés mai sje ne vois pas en quoi c'est une obligation.

Vincent.





Ja ne sais pas si il s'agit d'une obligation ( quoique), mais le jour
que par exemple le routage sur l'Internet de port non assigné ne
sera plus permis, il faudra pas venir raler. Ou plus simple, Microsoft
demande l'assignation de ce port.

A partir du moment qu'on décide d'aller sur l'Internet, on essaie de
respecter son fonctionnement et les normes, sinon on reste en intranet.


Pour arriver à la conclusion, que PCSoft documente sa base, fasse
assigné le port après on pourra parler de procédure.

Maintenant rien empêche d'ouvrir un port entre 49152-65535 qu'on
redirige sur le 4900 en interne.

Concernant WebDev et HF C/S la question ne se pose pas car dans ce cas
on passe par le web.




Non nous méprenons pas, je suis entièrement d'accord avec toi sur le
respect du fonctionnement et des normes d'internet.

Ma question portée uniquement sur le caractére obligatoire.

Vincent.
Daniel
Le #14153531
Vincent

Non nous méprenons pas, je suis entièrement d'accord avec toi sur le
respect du fonctionnement et des normes d'internet.

Ma question portée uniquement sur le caractére obligatoire.

Vincent.



Je ne sais pas pour le caractère obligatoire, mais bon pour une
société qui commercialise un produit il serait bien qu'elle fasse
enregistrer le port.

http://www.iana.org/cgi-bin/usr-port-number.pl

@+
--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
vanessa.anglet
Le #14153391
Bonjour

Je ne vois pas pourquoi un tel message (très intéressant) aurait
été 'censuré' (moi je dis 'modéré' en général, je ne suis pas
parano de nature !!!).
Quelle est la réponse que le modérateur vous a envoyé, si bien sur
vous avez publié en indiquant votre adresse (sinon bien entendu vous
ne pouvez pas recevoir de réponse, cela semble évident)
Merci de faire suivre la réponse, pour être intellectuellement clean.

V.A.

Daniel wrote:
Ci-joint copie d'une réponse que j'avais fait en face et qui ne semble
pas passer la modération.

Pour info, hier j'avais demandé à ed-enligne d'expliquer comment faire
fonctionner le moteur de HF sous un autre user que root, et j'avais
fait référence au site http://www.iana.org/assignments/port-numbers
en recopiant l'entête du fichier qui indique :

* PLEASE NOTE THE FOLLOWING: *
* *
* 1. UNASSIGNED PORT NUMBERS SHOULD NOT BE USED. THE IANA WILL ASSIGN *
* THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS BEEN APPROVED.


Ce message n'a pas passé la modération

par curiosisté j'ai fait un nmap sur kalanda.net

[ daniel]$ nmap kalanda.net -p4900

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on ks.kalanda.net (80.245.60.37):
Port State Service
4900/tcp open unknown


autre point où il serait intéressant d'avoir une réponse c'est sur le
comportement du serveur sur un telnet.
Je m'explique sur les hébergeurs de MySQL un telnet serveur 3306 rend ( déconnexion)
la main très rapidement, sur le port 4900 ce n'est pas automatique.

Ci-joint copie d'une autre réponse que j'avais fait en face et qui ne s emble
pas passer la modération.


Newsgroups: pcsoft.fr.windev
Subject: Re: HF C/S sur internet
References: --text follows this line--
"Heiniger Marcel"
> >Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un
> >risque potentiel de créer une faille de sécurité.
>
> >D'après toi pourquoi il y a des worms qui utilisent les ports ouverts
> >pour infecter les machines.
>
> Le ports ouverts N'EST PAS la faille de sécurité. C'est comme dans un
> chateau fort, un port coresspond à un élémant des rampart.
>
> si derière cet élément il y as un cannon la sécurité est bonn e si
> derière c'est parcontre juste une porte en bois pourie c'est par là
> que les assaillant vont entré la porte.
>
> Faut dire à ton fournisseur que s'il veux faire une forteresse comme
> celle de Vauban (bellefort & Besançon) qui n'on jamais été envail lie,
> il doit faire les manips suivantes.
>
> - désactiver tous les scripts sur le serveur comme php,ASP,perl plus
> de 50% des failles de sécuritée seront donc bouchée.
>
> - désactiver apache,IIS je lis min 1x/mois des nouvelles failles de
> sécus.
>
> - désactiver le FTP le clients pourais faire rentre un virus,un vert,
> un rootkit, ...
>
> - retirer le système dexploitations comme Winows(1 des plus grand
> virus), linux
>
> - Retirer les cables réseau, sans cable réseau plus de ports ouvert et
> aucun assaillant ne viendra par le réseau.
>
> - éteindre le serveur, il pourais y avoir une attaque par surtention.
>
> - mettre le serveur dans un coffre fort.
>
> - mettre le coffre dans une cage de faradey qui elle est dans un abris
> atomique.
>
> ah joubliais faut encore faire une copie de sauvegarge, un disque ne
> vis qeu env. 20-25 ans et faire en sorte que lui connaissant l'accés
> soit falcher par un norolisatieur des MIB
>
> La je crois qu'il aura bien fait sons travail et sécurisé son serve ur
> !
>
> Mais à quelle prix plus personne du tous n'auras accès à ca
> forteresse!!!
>
>
> Vous aurez surement compris que je plaiusantais et que j'allais dans
> les extrèmes. Notre boulot d'administrateur c'est de rendre services
> à nos clients.

Oui

> S'il on besoin douvrir un port pour tel ou tel aplication on le fait,
> si on connais pas bien l'api, on la met dans un espace schrooter et on
> fait notre boulot on surveille et on limite les dégat.
>
3 questions :
- comment mettre faire fonctionner le moteur HF sur un user différent
de root?
- comment chrooter HF?
- peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
attribuer, et qu'il faut en faire la demande à l'IANA?

Une remarque d'ordre générale, Oui il n'y a pas plus de raison d'avoir
des trous de sécurités qu'avec d'autres bases. Une seconde remarque,
il suffit de regarder les "rules" de snort pour voir que
malheureusement c'est souvent sur les systèmes propriétaires où il y a
plus de failles (netbios, oracle...)



--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)


Roumegou Eric
Le #14153371
a pensé très fort :
Bonjour

Je ne vois pas pourquoi un tel message (très intéressant) aurait
été 'censuré' (moi je dis 'modéré' en général, je ne suis pas
parano de nature !!!).
Quelle est la réponse que le modérateur vous a envoyé, si bien sur
vous avez publié en indiquant votre adresse (sinon bien entendu vous
ne pouvez pas recevoir de réponse, cela semble évident)
Merci de faire suivre la réponse, pour être intellectuellement clean.

V.A.



j'ai eu ce sentiment cette semaine. Là, cela n'aurait pas été de la
modération, cela aurait été de la censure car aucun de mes messages ne
portait à polémique. De plus, je ne recevais aucune réponse de la
modération.
En fait, il s'agissait d'un paramétrage de mon lecteur de news.
Apparemment, on ne peut protéger son adresse email des spammeurs et il
faut donc une adresse valide dans les en-têtes.
Embêtant car avec les NG, on est vite "viagra-iser" et autre joyeuseté
de ce genre.

Donc c'est surtout leur logiciel de traitement de news qui est
chatouilleux.


--
Eric Roumégou
Webmaster des wtablettes
http://cerbermail.com/?qE7t4Qvilo
(cliquez sur le lien ci-dessus pour me contacter en privé)
Daniel
Le #14153331
Bonjour Vanessa,

pas de réponse du modérateur attendu que l'adresse est cryptée avec
cerbermail, et à mon avis le modérateur ne va pas regarder cette
adresse.

Bien entendu je ne poste nullement en anonyme et cerbermail évite la
récupération des adresses pour le spam.


writes:

Bonjour

Je ne vois pas pourquoi un tel message (très intéressant) aurait
été 'censuré' (moi je dis 'modéré' en général, je ne suis p as
parano de nature !!!).
Quelle est la réponse que le modérateur vous a envoyé, si bien sur
vous avez publié en indiquant votre adresse (sinon bien entendu vous
ne pouvez pas recevoir de réponse, cela semble évident)
Merci de faire suivre la réponse, pour être intellectuellement clean.

V.A.

Daniel wrote:
> Ci-joint copie d'une réponse que j'avais fait en face et qui ne semble
> pas passer la modération.
>
> Pour info, hier j'avais demandé à ed-enligne d'expliquer comment fa ire
> fonctionner le moteur de HF sous un autre user que root, et j'avais
> fait référence au site http://www.iana.org/assignments/port-numbers
> en recopiant l'entête du fichier qui indique :
>
> * PLEASE NOTE THE FOLLOWING: *
> * *
> * 1. UNASSIGNED PORT NUMBERS SHOULD NOT BE USED. THE IANA WILL ASSIGN *
> * THE NUMBER FOR THE PORT AFTER YOUR APPLICATION HAS BEEN APPROVED.
>
>
> Ce message n'a pas passé la modération
>
> par curiosisté j'ai fait un nmap sur kalanda.net
>
> [ daniel]$ nmap kalanda.net -p4900
>
> Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
> Interesting ports on ks.kalanda.net (80.245.60.37):
> Port State Service
> 4900/tcp open unknown
>
>
> autre point où il serait intéressant d'avoir une réponse c'est su r le
> comportement du serveur sur un telnet.
> Je m'explique sur les hébergeurs de MySQL un telnet serveur 3306 rend (déconnexion)
> la main très rapidement, sur le port 4900 ce n'est pas automatique.
>
> Ci-joint copie d'une autre réponse que j'avais fait en face et qui ne semble
> pas passer la modération.
>
>
> Newsgroups: pcsoft.fr.windev
> Subject: Re: HF C/S sur internet
> References: > --text follows this line--
> "Heiniger Marcel" >
> > >Ah bon, bien sure qu'ouvrir un port sur un serveur constitue un
> > >risque potentiel de créer une faille de sécurité.
> >
> > >D'après toi pourquoi il y a des worms qui utilisent les ports ouve rts
> > >pour infecter les machines.
> >
> > Le ports ouverts N'EST PAS la faille de sécurité. C'est comme dan s un
> > chateau fort, un port coresspond à un élémant des rampart.
> >
> > si derière cet élément il y as un cannon la sécurité est bo nne si
> > derière c'est parcontre juste une porte en bois pourie c'est par l à
> > que les assaillant vont entré la porte.
> >
> > Faut dire à ton fournisseur que s'il veux faire une forteresse comme
> > celle de Vauban (bellefort & Besançon) qui n'on jamais été enva illie,
> > il doit faire les manips suivantes.
> >
> > - désactiver tous les scripts sur le serveur comme php,ASP,perl plus
> > de 50% des failles de sécuritée seront donc bouchée.
> >
> > - désactiver apache,IIS je lis min 1x/mois des nouvelles failles de
> > sécus.
> >
> > - désactiver le FTP le clients pourais faire rentre un virus,un ver t,
> > un rootkit, ...
> >
> > - retirer le système dexploitations comme Winows(1 des plus grand
> > virus), linux
> >
> > - Retirer les cables réseau, sans cable réseau plus de ports ouve rt et
> > aucun assaillant ne viendra par le réseau.
> >
> > - éteindre le serveur, il pourais y avoir une attaque par surtentio n.
> >
> > - mettre le serveur dans un coffre fort.
> >
> > - mettre le coffre dans une cage de faradey qui elle est dans un abris
> > atomique.
> >
> > ah joubliais faut encore faire une copie de sauvegarge, un disque ne
> > vis qeu env. 20-25 ans et faire en sorte que lui connaissant l'accés
> > soit falcher par un norolisatieur des MIB
> >
> > La je crois qu'il aura bien fait sons travail et sécurisé son ser veur
> > !
> >
> > Mais à quelle prix plus personne du tous n'auras accès à ca
> > forteresse!!!
> >
> >
> > Vous aurez surement compris que je plaiusantais et que j'allais dans
> > les extrèmes. Notre boulot d'administrateur c'est de rendre servic es
> > à nos clients.
>
> Oui
>
> > S'il on besoin douvrir un port pour tel ou tel aplication on le fait,
> > si on connais pas bien l'api, on la met dans un espace schrooter et on
> > fait notre boulot on surveille et on limite les dégat.
> >
> 3 questions :
> - comment mettre faire fonctionner le moteur HF sur un user différent
> de root?
> - comment chrooter HF?
> - peut on utiliser le port 4900 sur internet sachant qu'il n'est pas
> attribuer, et qu'il faut en faire la demande à l'IANA?
>
> Une remarque d'ordre générale, Oui il n'y a pas plus de raison d'av oir
> des trous de sécurités qu'avec d'autres bases. Une seconde remarque,
> il suffit de regarder les "rules" de snort pour voir que
> malheureusement c'est souvent sur les systèmes propriétaires où i l y a
> plus de failles (netbios, oracle...)
>
>
>
> --
> suivre ce lien pour répondre:
> http://cerbermail.com/?2KrV3YZXnn
> Daniel
> ;-)




--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)
Eric Demeester
Le #14153311
dans (in) fr.comp.developpement.agl.windev, Daniel

Bonsoir,

Bien entendu je ne poste nullement en anonyme et cerbermail évite la
récupération des adresses pour le spam.



Je comprends le procédé, mais on peut très bien se prémunir du spam tout
en postant dans les news avec une adresse valide. Il est vrai que ça
demande quelques capacités techniques qui ne sont pas à la portée de
tout le monde, mais bon.

--
Eric
vanessa.anglet
Le #14153271
Bonsoir
Ne devriez les contacter par un moyen qu'ils supportent, il est dommage
que votre post ne soit pas passé !
Et leur demander de supporter "cerbermail" si c'est un moyen de
protection connu et utilisé ?
V.A.
Poster une réponse
Anonyme