Keylogger tres bien. a vous de voir http://www.geocities.com/le_colonel2003/
Hum ... un keylogger sans les sources cela ne vaut malheureusement pas grand chose, hormis le fait de n'être testé par personne !
-- Antoine CANONNE
Eric Razny
"Antoine CANONNE" a écrit dans le message de news:
On Sat, 12 Jul 2003 10:13:10 +0200, maxime wrote:
Keylogger tres bien. a vous de voir http://www.geocities.com/le_colonel2003/
Hum ... un keylogger sans les sources cela ne vaut malheureusement pas grand
chose, hormis le fait de n'être testé par personne !
Si si! Ca va nous voloir ici même une question renvoyant de nouveau à la FAQ : qu'est-ce qu'un trojan! En tout cas c'est le risque habituel de récupérer un soft à vocation potentiellement douteuse* sans avoir les sources ou connaitre le créateur.
Ca ne veut pas dire que le soft n'est pas bon mais qu'il représente, AMHA un risque de sécurité trop important pour être testé.
Je vais relire la FAQ mais si ce n'y est pas (il me semble que la FAQ est essentiellement orientée FW) il peut être bon de rajouter dans le chapitre trojan qu'il est prudent d'éviter les screen-savers d'origine inconnue ainsi que les programmes soit disant "underground" sans code source, surtout si on ne sait pas à qui on a à faire. Ce n'est pas grand chose mais si ça peut apporter (un peu) plus de sécurité au lecteur...
Eric
* <troll> certains mettent MS-Windows dans ce même lot! </troll>
"Antoine CANONNE" <removeme.antoine.canonne@free.fr> a écrit dans le message
de news:pan.2003.07.12.12.31.46.476154.849@free.fr...
On Sat, 12 Jul 2003 10:13:10 +0200, maxime wrote:
Keylogger tres bien.
a vous de voir
http://www.geocities.com/le_colonel2003/
Hum ... un keylogger sans les sources cela ne vaut malheureusement pas
grand
chose, hormis le fait de n'être testé par personne !
Si si! Ca va nous voloir ici même une question renvoyant de nouveau à la FAQ
: qu'est-ce qu'un trojan!
En tout cas c'est le risque habituel de récupérer un soft à vocation
potentiellement douteuse* sans avoir les sources ou connaitre le créateur.
Ca ne veut pas dire que le soft n'est pas bon mais qu'il représente, AMHA un
risque de sécurité trop important pour être testé.
Je vais relire la FAQ mais si ce n'y est pas (il me semble que la FAQ est
essentiellement orientée FW) il peut être bon de rajouter dans le chapitre
trojan qu'il est prudent d'éviter les screen-savers d'origine inconnue ainsi
que les programmes soit disant "underground" sans code source, surtout si on
ne sait pas à qui on a à faire. Ce n'est pas grand chose mais si ça peut
apporter (un peu) plus de sécurité au lecteur...
Eric
* <troll> certains mettent MS-Windows dans ce même lot! </troll>
"Antoine CANONNE" a écrit dans le message de news:
On Sat, 12 Jul 2003 10:13:10 +0200, maxime wrote:
Keylogger tres bien. a vous de voir http://www.geocities.com/le_colonel2003/
Hum ... un keylogger sans les sources cela ne vaut malheureusement pas grand
chose, hormis le fait de n'être testé par personne !
Si si! Ca va nous voloir ici même une question renvoyant de nouveau à la FAQ : qu'est-ce qu'un trojan! En tout cas c'est le risque habituel de récupérer un soft à vocation potentiellement douteuse* sans avoir les sources ou connaitre le créateur.
Ca ne veut pas dire que le soft n'est pas bon mais qu'il représente, AMHA un risque de sécurité trop important pour être testé.
Je vais relire la FAQ mais si ce n'y est pas (il me semble que la FAQ est essentiellement orientée FW) il peut être bon de rajouter dans le chapitre trojan qu'il est prudent d'éviter les screen-savers d'origine inconnue ainsi que les programmes soit disant "underground" sans code source, surtout si on ne sait pas à qui on a à faire. Ce n'est pas grand chose mais si ça peut apporter (un peu) plus de sécurité au lecteur...
Eric
* <troll> certains mettent MS-Windows dans ce même lot! </troll>
Fabien LE LEZ
On 12 Jul 2003 14:52:55 GMT, "Eric Razny" wrote:
Je vais relire la FAQ mais si ce n'y est pas (il me semble que la FAQ est essentiellement orientée FW)
En fait, il n'y a pas de FAQ sur fr.comp.securite en général -- il y a juste une FAQ sur les firewalls.
* <troll> certains mettent MS-Windows dans ce même lot! </troll>
Pour Windows XP, ce n'est même pas un troll, c'est officiel : il envoie sur Internet des informations concernant l'utilisateur. Idem pour WMP 9.
-- Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/ et http://www.aminautes.org/forums/serveurs/tablefr.html Archives : http://groups.google.com/advanced_group_search http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
On 12 Jul 2003 14:52:55 GMT, "Eric Razny" <trash2@razny.net> wrote:
Je vais relire la FAQ mais si ce n'y est pas (il me semble que la FAQ est
essentiellement orientée FW)
En fait, il n'y a pas de FAQ sur fr.comp.securite en général -- il y a
juste une FAQ sur les firewalls.
* <troll> certains mettent MS-Windows dans ce même lot! </troll>
Pour Windows XP, ce n'est même pas un troll, c'est officiel : il
envoie sur Internet des informations concernant l'utilisateur. Idem
pour WMP 9.
--
Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/
et http://www.aminautes.org/forums/serveurs/tablefr.html
Archives : http://groups.google.com/advanced_group_search
http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
Je vais relire la FAQ mais si ce n'y est pas (il me semble que la FAQ est essentiellement orientée FW)
En fait, il n'y a pas de FAQ sur fr.comp.securite en général -- il y a juste une FAQ sur les firewalls.
* <troll> certains mettent MS-Windows dans ce même lot! </troll>
Pour Windows XP, ce n'est même pas un troll, c'est officiel : il envoie sur Internet des informations concernant l'utilisateur. Idem pour WMP 9.
-- Tout sur fr.* (FAQ, etc.) : http://www.usenet-fr.net/fur/ et http://www.aminautes.org/forums/serveurs/tablefr.html Archives : http://groups.google.com/advanced_group_search http://www.usenet-fr.net/fur/usenet/repondre-sur-usenet.html
maxime_phan
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit sur plusieurs sites de telechargement(telecharger.com et logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais pas le delai de traitement) qui se chargeront de le tester et certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre propre compte. Je pourrai creer une adresse bidon pour cela et mettre en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail pour une adresse. Certains vont dire "le mec espionné peut récupérer le mot de passe...) Non car le tout est crypté et tres bien planqué je met au defi nimporte qui de les retrouver. de plus en utilisant ce keylogger il est conseillé de creer une adresse hotmail bidon qui ne servira qu'a ca...
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit
sur plusieurs sites de telechargement(telecharger.com et
logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais
pas le delai de traitement) qui se chargeront de le tester et
certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre
propre compte. Je pourrai creer une adresse bidon pour cela et mettre
en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail
pour une adresse. Certains vont dire "le mec espionné peut récupérer
le mot de passe...) Non car le tout est crypté et tres bien planqué je
met au defi nimporte qui de les retrouver. de plus en utilisant ce
keylogger il est conseillé de creer une adresse hotmail bidon qui ne
servira qu'a ca...
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit sur plusieurs sites de telechargement(telecharger.com et logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais pas le delai de traitement) qui se chargeront de le tester et certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre propre compte. Je pourrai creer une adresse bidon pour cela et mettre en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail pour une adresse. Certains vont dire "le mec espionné peut récupérer le mot de passe...) Non car le tout est crypté et tres bien planqué je met au defi nimporte qui de les retrouver. de plus en utilisant ce keylogger il est conseillé de creer une adresse hotmail bidon qui ne servira qu'a ca...
thierry escola
maxime wrote:
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit sur plusieurs sites de telechargement(telecharger.com et logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais pas le delai de traitement) qui se chargeront de le tester et certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre propre compte. Je pourrai creer une adresse bidon pour cela et mettre en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail pour une adresse. Certains vont dire "le mec espionné peut récupérer le mot de passe...) Non car le tout est crypté et tres bien planqué je met au defi nimporte qui de les retrouver. de plus en utilisant ce keylogger il est conseillé de creer une adresse hotmail bidon qui ne servira qu'a ca...
si tu ne comptes pas faire d'argent avec ton logiciel, donnes alors les sources, ce qui lèvera tous les doutes.
Thierry -- http://members.fortunecity.fr/tagada/
maxime wrote:
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit
sur plusieurs sites de telechargement(telecharger.com et
logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais
pas le delai de traitement) qui se chargeront de le tester et
certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre
propre compte. Je pourrai creer une adresse bidon pour cela et mettre
en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail
pour une adresse. Certains vont dire "le mec espionné peut récupérer
le mot de passe...) Non car le tout est crypté et tres bien planqué je
met au defi nimporte qui de les retrouver. de plus en utilisant ce
keylogger il est conseillé de creer une adresse hotmail bidon qui ne
servira qu'a ca...
si tu ne comptes pas faire d'argent avec ton logiciel, donnes alors les
sources, ce qui lèvera tous les doutes.
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit sur plusieurs sites de telechargement(telecharger.com et logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais pas le delai de traitement) qui se chargeront de le tester et certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre propre compte. Je pourrai creer une adresse bidon pour cela et mettre en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail pour une adresse. Certains vont dire "le mec espionné peut récupérer le mot de passe...) Non car le tout est crypté et tres bien planqué je met au defi nimporte qui de les retrouver. de plus en utilisant ce keylogger il est conseillé de creer une adresse hotmail bidon qui ne servira qu'a ca...
si tu ne comptes pas faire d'argent avec ton logiciel, donnes alors les sources, ce qui lèvera tous les doutes.
Thierry -- http://members.fortunecity.fr/tagada/
Eric Razny
"maxime" a écrit dans le message de news:
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit sur plusieurs sites de telechargement(telecharger.com et logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais pas le delai de traitement) qui se chargeront de le tester et certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Je confirme ce que j'ai déjà écrit. Le logiciel peut être bon mais la non disponibilité du code source (aliée au fait que je ne te connais pas :) ) implique l'*impossibilité* de le tester "proprement" (au niveau sécurité s'entend) à moins de le décompiler (et dans ce cas on retombe sur une variante du cas code source disponible!).
Rien ne prouve qu'une fonction ne va pas se réveiller dans un délai paramètrable (date? durée de fonctionnement cumulé? taille des données?) pour balancer les données collectées à un étranger*. La sécurité par l'obscurité est souvent une mauvaise chose (en clair on ne doit pas compter dessus. Ce peut être un léger "+" -pas de banière indiquant la version d'apache par exemple- mais AMHA c'est tout ) mais la c'est pire : tu propose d'utiliser ton produit, par nature dans un contexte "sensible" en nous disant simplement "ayez confiance"! C'est quand même un non sens en sécurité informatique où ce sont souvent les relations de confiances -au sens large- qui ouvrent la porte en grand! (je ne parle pas des relations humaines et des comportements, ce qui est le plus dur à gérer!)
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre propre compte. Je pourrai creer une adresse bidon pour cela et mettre en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail pour une adresse. Certains vont dire "le mec espionné peut récupérer le mot de passe...) Non car le tout est crypté et tres bien planqué je met au defi nimporte qui de les retrouver. de plus en utilisant ce keylogger il est conseillé de creer une adresse hotmail bidon qui ne servira qu'a ca...
Si tu envois sur un serveur smtp le destinataire sera accepté s'il appartient au domaine et que le domaine déclaré de l'expéditeur existe A CONDITION que l'adresse IP ne soit pas blacklistée par le server.
Si tu passe par un serveur smtp avec demande de mot de passe j'espère pour toi que le challenge est réellement suffisant**. Sinon un bon sniffer et hop! Ca signifie a priori beaucoup (trop?) de connaissance pour ton utilisateur lambda.
D'où ma question as-tu prévu le cas?
Autre chose, tu parle de chiffrage. Algo? Implémentation? Qualité de l'aléa? Une fois de plus ta proposition repose sur une relation de confiance à sens unique, et donc, à mon sens, contraire à une sécurité élémentaire.
Eric
PS : je ne te connais pas, je ne te juge donc pas! (encore heureux, même si je te connaissais d'ailleurs!) J'essaye de rester simplement objectif. Mets toi à la place de tes utilisateurs et dis moi ce que tu en pense?
* ne me parle pas de possibilité de contrôler ce qui est envoyé. Ton soft peut très bien employer une faille non divulguée, et par nature non patchée, pour faire son job "hostile".
** mon serveur smtp accepte un login/password pour faire du relay mais OE (que j'utilise encore, je sais... Mais de toute façon d'autres utilisateurs d'OE se connectant en emission il faut bien prévoir la cas) ne permet qu'une sécurité notoirement insuffisante. Résultat je passe par une couche ssl. Crois tu que ce cas soit si courant?
"maxime" <maxime_phan@hotmail.com> a écrit dans le message de
news:4cc9a89e.0307120939.7847b28e@posting.google.com...
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit
sur plusieurs sites de telechargement(telecharger.com et
logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais
pas le delai de traitement) qui se chargeront de le tester et
certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Je confirme ce que j'ai déjà écrit. Le logiciel peut être bon mais la non
disponibilité du code source (aliée au fait que je ne te connais pas :) )
implique l'*impossibilité* de le tester "proprement" (au niveau sécurité
s'entend) à moins de le décompiler (et dans ce cas on retombe sur une
variante du cas code source disponible!).
Rien ne prouve qu'une fonction ne va pas se réveiller dans un délai
paramètrable (date? durée de fonctionnement cumulé? taille des données?)
pour balancer les données collectées à un étranger*. La sécurité par
l'obscurité est souvent une mauvaise chose (en clair on ne doit pas compter
dessus. Ce peut être un léger "+" -pas de banière indiquant la version
d'apache par exemple- mais AMHA c'est tout ) mais la c'est pire : tu propose
d'utiliser ton produit, par nature dans un contexte "sensible" en nous
disant simplement "ayez confiance"! C'est quand même un non sens en sécurité
informatique où ce sont souvent les relations de confiances -au sens large-
qui ouvrent la porte en grand! (je ne parle pas des relations humaines et
des comportements, ce qui est le plus dur à gérer!)
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre
propre compte. Je pourrai creer une adresse bidon pour cela et mettre
en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail
pour une adresse. Certains vont dire "le mec espionné peut récupérer
le mot de passe...) Non car le tout est crypté et tres bien planqué je
met au defi nimporte qui de les retrouver. de plus en utilisant ce
keylogger il est conseillé de creer une adresse hotmail bidon qui ne
servira qu'a ca...
Si tu envois sur un serveur smtp le destinataire sera accepté s'il
appartient au domaine et que le domaine déclaré de l'expéditeur existe A
CONDITION que l'adresse IP ne soit pas blacklistée par le server.
Si tu passe par un serveur smtp avec demande de mot de passe j'espère pour
toi que le challenge est réellement suffisant**. Sinon un bon sniffer et
hop!
Ca signifie a priori beaucoup (trop?) de connaissance pour ton utilisateur
lambda.
D'où ma question as-tu prévu le cas?
Autre chose, tu parle de chiffrage. Algo? Implémentation? Qualité de l'aléa?
Une fois de plus ta proposition repose sur une relation de confiance à sens
unique, et donc, à mon sens, contraire à une sécurité élémentaire.
Eric
PS : je ne te connais pas, je ne te juge donc pas! (encore heureux, même si
je te connaissais d'ailleurs!) J'essaye de rester simplement objectif. Mets
toi à la place de tes utilisateurs et dis moi ce que tu en pense?
* ne me parle pas de possibilité de contrôler ce qui est envoyé. Ton soft
peut très bien employer une faille non divulguée, et par nature non patchée,
pour faire son job "hostile".
** mon serveur smtp accepte un login/password pour faire du relay mais OE
(que j'utilise encore, je sais... Mais de toute façon d'autres utilisateurs
d'OE se connectant en emission il faut bien prévoir la cas) ne permet qu'une
sécurité notoirement insuffisante. Résultat je passe par une couche ssl.
Crois tu que ce cas soit si courant?
Je comprend la mefiance envers ce logiciel mais je l'ai aussi inscrit sur plusieurs sites de telechargement(telecharger.com et logitheque.com). Il paraitra donc bientot sur ces sites(je ne connais pas le delai de traitement) qui se chargeront de le tester et certifier qu'il n'y a pas d'arnaque ou quoi que ce soit.
Je confirme ce que j'ai déjà écrit. Le logiciel peut être bon mais la non disponibilité du code source (aliée au fait que je ne te connais pas :) ) implique l'*impossibilité* de le tester "proprement" (au niveau sécurité s'entend) à moins de le décompiler (et dans ce cas on retombe sur une variante du cas code source disponible!).
Rien ne prouve qu'une fonction ne va pas se réveiller dans un délai paramètrable (date? durée de fonctionnement cumulé? taille des données?) pour balancer les données collectées à un étranger*. La sécurité par l'obscurité est souvent une mauvaise chose (en clair on ne doit pas compter dessus. Ce peut être un léger "+" -pas de banière indiquant la version d'apache par exemple- mais AMHA c'est tout ) mais la c'est pire : tu propose d'utiliser ton produit, par nature dans un contexte "sensible" en nous disant simplement "ayez confiance"! C'est quand même un non sens en sécurité informatique où ce sont souvent les relations de confiances -au sens large- qui ouvrent la porte en grand! (je ne parle pas des relations humaines et des comportements, ce qui est le plus dur à gérer!)
Le mot de passe et login sont la pour pouvoir envoyer le mail de votre propre compte. Je pourrai creer une adresse bidon pour cela et mettre en dur ds le code mais avec bcp d'utilisateurs ca ferait bcp de mail pour une adresse. Certains vont dire "le mec espionné peut récupérer le mot de passe...) Non car le tout est crypté et tres bien planqué je met au defi nimporte qui de les retrouver. de plus en utilisant ce keylogger il est conseillé de creer une adresse hotmail bidon qui ne servira qu'a ca...
Si tu envois sur un serveur smtp le destinataire sera accepté s'il appartient au domaine et que le domaine déclaré de l'expéditeur existe A CONDITION que l'adresse IP ne soit pas blacklistée par le server.
Si tu passe par un serveur smtp avec demande de mot de passe j'espère pour toi que le challenge est réellement suffisant**. Sinon un bon sniffer et hop! Ca signifie a priori beaucoup (trop?) de connaissance pour ton utilisateur lambda.
D'où ma question as-tu prévu le cas?
Autre chose, tu parle de chiffrage. Algo? Implémentation? Qualité de l'aléa? Une fois de plus ta proposition repose sur une relation de confiance à sens unique, et donc, à mon sens, contraire à une sécurité élémentaire.
Eric
PS : je ne te connais pas, je ne te juge donc pas! (encore heureux, même si je te connaissais d'ailleurs!) J'essaye de rester simplement objectif. Mets toi à la place de tes utilisateurs et dis moi ce que tu en pense?
* ne me parle pas de possibilité de contrôler ce qui est envoyé. Ton soft peut très bien employer une faille non divulguée, et par nature non patchée, pour faire son job "hostile".
** mon serveur smtp accepte un login/password pour faire du relay mais OE (que j'utilise encore, je sais... Mais de toute façon d'autres utilisateurs d'OE se connectant en emission il faut bien prévoir la cas) ne permet qu'une sécurité notoirement insuffisante. Résultat je passe par une couche ssl. Crois tu que ce cas soit si courant?
pierre.pinard
(maxime) wrote in message news:...
Keylogger tres bien. a vous de voir http://www.geocities.com/le_colonel2003/
Bonjour, Moi je ne vois rien sur cette page (ce site) mis à part un micro tableau vide. Par contre mon filtre hurle aux scripts hostiles, aux web_bug et au cookies hostiles. Pierre
maxime_phan@hotmail.com (maxime) wrote in message news:<4cc9a89e.0307091548.195203de@posting.google.com>...
Keylogger tres bien.
a vous de voir
http://www.geocities.com/le_colonel2003/
Bonjour,
Moi je ne vois rien sur cette page (ce site) mis à part un micro
tableau vide.
Par contre mon filtre hurle aux scripts hostiles, aux web_bug et au
cookies hostiles.
Pierre
Keylogger tres bien. a vous de voir http://www.geocities.com/le_colonel2003/
Bonjour, Moi je ne vois rien sur cette page (ce site) mis à part un micro tableau vide. Par contre mon filtre hurle aux scripts hostiles, aux web_bug et au cookies hostiles. Pierre
