Suite à une reflexion (pas très intense) avec des collègues de bureau,
nous en avons conclus que la présence d'une machine virtuelle java sur
une PC, sous Windows, par exemple, constituait un moyen très simple
d'emettre discrètement vers Internet ou le réseau local.
En effet, il suffit qu'une application Java (OpenOffice, Eclipse etc.)
ait un jour besoin d'un accès internet (mise a jour, édition de page
Web etc.) pour qu'on autorise son firewall favori (Zone Alarme,
Outpost) à accepter que la JVM accède à Internet. A partir de cette
autorisation, n'importe quelle application java pourrait en faire de
même sans que le firewall soit au courant.
Pour se prémunir, il faudrait une sorte de firewall 'Java' qui autorise
les applis Java une par une. Je ne suis pas sûr que ça existe...
Réactions et commentaires bienvenus.
--
Emmanuel
The C-FAQ: http://www.eskimo.com/~scs/C-faq/faq.html
The C-library: http://www.dinkumware.com/refxc.html
"Mal nommer les choses c'est ajouter du malheur au
monde." -- Albert Camus.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye wrote:
A partir de cette autorisation, n'importe quelle application java pourrait en faire de même sans que le firewall soit au courant.
C'est un problème qui se pose à chaque fois que l'on peut utiliser comme "proxy" une application autorisée à sortir. Pour Internet Explorer (très souvent autorisé à sortir), on peut par exemple faire ça par des techniques de manipulation d'objets OLE/DCOM ou par du CreateRemoteThread().
Nicob
On Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye wrote:
A partir de cette autorisation, n'importe quelle application java
pourrait en faire de même sans que le firewall soit au courant.
C'est un problème qui se pose à chaque fois que l'on peut utiliser comme
"proxy" une application autorisée à sortir. Pour Internet Explorer
(très souvent autorisé à sortir), on peut par exemple faire ça par des
techniques de manipulation d'objets OLE/DCOM ou par du
CreateRemoteThread().
On Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye wrote:
A partir de cette autorisation, n'importe quelle application java pourrait en faire de même sans que le firewall soit au courant.
C'est un problème qui se pose à chaque fois que l'on peut utiliser comme "proxy" une application autorisée à sortir. Pour Internet Explorer (très souvent autorisé à sortir), on peut par exemple faire ça par des techniques de manipulation d'objets OLE/DCOM ou par du CreateRemoteThread().
Nicob
Fabien LE LEZ
On 10 Jan 2005 23:14:20 GMT, Emmanuel Delahaye :
Réactions et commentaires bienvenus.
J'avais déjà indiqué le problème : <news:
-- ;-)
On 10 Jan 2005 23:14:20 GMT, Emmanuel Delahaye <emdel@YOURBRAnoos.fr>:
Réactions et commentaires bienvenus.
J'avais déjà indiqué le problème :
<news:ddro10dg2tr3fitlohpq3a375kh206frq1@4ax.com>
On Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye wrote:
A partir de cette autorisation, n'importe quelle application java pourrait en faire de même sans que le firewall soit au courant.
C'est un problème qui se pose à chaque fois que l'on peut utiliser comme "proxy" une application autorisée à sortir. Pour Internet Explorer (très souvent autorisé à sortir), on peut par exemple faire ça par des techniques de manipulation d'objets OLE/DCOM ou par du CreateRemoteThread().
Sauf que ce cas est prevu par Kerio dans les dernieres versions.
Et qu'il met un message pop up indiquant l'application qui appelle IE (ou toute autre applications), et qui veut l'utilisé pour sortir.
Et que l'on peut créer des regles authorisant IE a sortir mais pas les applications qui l'appellent ou seulement certaines.
Je ne sais pas si il est capable de remonter dans la JVM pour indiquer qu'elle application dans la JVM essaye de sortir.
Nicob wrote:
On Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye wrote:
A partir de cette autorisation, n'importe quelle application java
pourrait en faire de même sans que le firewall soit au courant.
C'est un problème qui se pose à chaque fois que l'on peut utiliser comme
"proxy" une application autorisée à sortir. Pour Internet Explorer
(très souvent autorisé à sortir), on peut par exemple faire ça par des
techniques de manipulation d'objets OLE/DCOM ou par du
CreateRemoteThread().
Sauf que ce cas est prevu par Kerio dans les dernieres versions.
Et qu'il met un message pop up indiquant l'application qui appelle IE
(ou toute autre applications), et qui veut l'utilisé pour sortir.
Et que l'on peut créer des regles authorisant IE a sortir mais pas les
applications qui l'appellent ou seulement certaines.
Je ne sais pas si il est capable de remonter dans la JVM pour indiquer
qu'elle application dans la JVM essaye de sortir.
On Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye wrote:
A partir de cette autorisation, n'importe quelle application java pourrait en faire de même sans que le firewall soit au courant.
C'est un problème qui se pose à chaque fois que l'on peut utiliser comme "proxy" une application autorisée à sortir. Pour Internet Explorer (très souvent autorisé à sortir), on peut par exemple faire ça par des techniques de manipulation d'objets OLE/DCOM ou par du CreateRemoteThread().
Sauf que ce cas est prevu par Kerio dans les dernieres versions.
Et qu'il met un message pop up indiquant l'application qui appelle IE (ou toute autre applications), et qui veut l'utilisé pour sortir.
Et que l'on peut créer des regles authorisant IE a sortir mais pas les applications qui l'appellent ou seulement certaines.
Je ne sais pas si il est capable de remonter dans la JVM pour indiquer qu'elle application dans la JVM essaye de sortir.
Nicob
On Tue, 11 Jan 2005 07:21:34 +0000, SR wrote:
Et qu'il met un message pop up indiquant l'application qui appelle IE (ou toute autre applications), et qui veut l'utilisé pour sortir.
Tiens, je serais curieux de voir ça. Y a de la doc quelque part à ce sujet ? J'ai pas envie de monter un Windows + Kerio juste pour ça.
Nicob
On Tue, 11 Jan 2005 07:21:34 +0000, SR wrote:
Et qu'il met un message pop up indiquant l'application qui appelle IE
(ou toute autre applications), et qui veut l'utilisé pour sortir.
Tiens, je serais curieux de voir ça. Y a de la doc quelque part à ce
sujet ? J'ai pas envie de monter un Windows + Kerio juste pour ça.
Et qu'il met un message pop up indiquant l'application qui appelle IE (ou toute autre applications), et qui veut l'utilisé pour sortir.
Tiens, je serais curieux de voir ça. Y a de la doc quelque part à ce sujet ? J'ai pas envie de monter un Windows + Kerio juste pour ça.
Nicob
Cedric Blancher
Le Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye a écrit :
En effet, il suffit qu'une application Java (OpenOffice, Eclipse etc.) ait un jour besoin d'un accès internet (mise a jour, édition de page Web etc.) pour qu'on autorise son firewall favori (Zone Alarme, Outpost) à accepter que la JVM accède à Internet. A partir de cette autorisation, n'importe quelle application java pourrait en faire de même sans que le firewall soit au courant.
C'est vrai pour n'importe quelle VM ou interpréteur, même si cela ne constitue qu'une très faible minorité des logiciels rencontrés sous Windows.
-- TP> Les binaires sur fr.* ne sont pas envisageables pour diverses TP> raisons techniques qui ont déjà été évoquées des centaines de fois. Les techniques que tu évoques sont des techniques de ta mère. -+- C in GNU - Ta mère en short elle administre un serveur de niouzes -
Le Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye a écrit :
En effet, il suffit qu'une application Java (OpenOffice, Eclipse etc.)
ait un jour besoin d'un accès internet (mise a jour, édition de page
Web etc.) pour qu'on autorise son firewall favori (Zone Alarme,
Outpost) à accepter que la JVM accède à Internet. A partir de cette
autorisation, n'importe quelle application java pourrait en faire de
même sans que le firewall soit au courant.
C'est vrai pour n'importe quelle VM ou interpréteur, même si cela ne
constitue qu'une très faible minorité des logiciels rencontrés sous
Windows.
--
TP> Les binaires sur fr.* ne sont pas envisageables pour diverses
TP> raisons techniques qui ont déjà été évoquées des centaines de fois.
Les techniques que tu évoques sont des techniques de ta mère.
-+- C in GNU - Ta mère en short elle administre un serveur de niouzes -
Le Mon, 10 Jan 2005 23:14:20 +0000, Emmanuel Delahaye a écrit :
En effet, il suffit qu'une application Java (OpenOffice, Eclipse etc.) ait un jour besoin d'un accès internet (mise a jour, édition de page Web etc.) pour qu'on autorise son firewall favori (Zone Alarme, Outpost) à accepter que la JVM accède à Internet. A partir de cette autorisation, n'importe quelle application java pourrait en faire de même sans que le firewall soit au courant.
C'est vrai pour n'importe quelle VM ou interpréteur, même si cela ne constitue qu'une très faible minorité des logiciels rencontrés sous Windows.
-- TP> Les binaires sur fr.* ne sont pas envisageables pour diverses TP> raisons techniques qui ont déjà été évoquées des centaines de fois. Les techniques que tu évoques sont des techniques de ta mère. -+- C in GNU - Ta mère en short elle administre un serveur de niouzes -
Vincent Bernat
OoO En cette matinée ensoleillée du mardi 11 janvier 2005, vers 09:13, Nicob disait:
Et qu'il met un message pop up indiquant l'application qui appelle IE (ou toute autre applications), et qui veut l'utilisé pour sortir.
Tiens, je serais curieux de voir ça. Y a de la doc quelque part à ce sujet ? J'ai pas envie de monter un Windows + Kerio juste pour ça.
Il me semble qu'il y a deux composants distincts : un composant qui filtre les appels entre programmes et un composant firewall applicatif classique. Et il n'est pas possible de lier les deux. Je n'ai plus de Kerio sous la main pour tester. -- I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE -+- Bart Simpson on chalkboard in episode 8F21
OoO En cette matinée ensoleillée du mardi 11 janvier 2005, vers 09:13,
Nicob <nicob@I.hate.spammers.com> disait:
Et qu'il met un message pop up indiquant l'application qui appelle IE
(ou toute autre applications), et qui veut l'utilisé pour sortir.
Tiens, je serais curieux de voir ça. Y a de la doc quelque part à ce
sujet ? J'ai pas envie de monter un Windows + Kerio juste pour ça.
Il me semble qu'il y a deux composants distincts : un composant qui
filtre les appels entre programmes et un composant firewall applicatif
classique. Et il n'est pas possible de lier les deux. Je n'ai plus de
Kerio sous la main pour tester.
--
I WILL NOT SPIN THE TURTLE
I WILL NOT SPIN THE TURTLE
I WILL NOT SPIN THE TURTLE
-+- Bart Simpson on chalkboard in episode 8F21
OoO En cette matinée ensoleillée du mardi 11 janvier 2005, vers 09:13, Nicob disait:
Et qu'il met un message pop up indiquant l'application qui appelle IE (ou toute autre applications), et qui veut l'utilisé pour sortir.
Tiens, je serais curieux de voir ça. Y a de la doc quelque part à ce sujet ? J'ai pas envie de monter un Windows + Kerio juste pour ça.
Il me semble qu'il y a deux composants distincts : un composant qui filtre les appels entre programmes et un composant firewall applicatif classique. Et il n'est pas possible de lier les deux. Je n'ai plus de Kerio sous la main pour tester. -- I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE I WILL NOT SPIN THE TURTLE -+- Bart Simpson on chalkboard in episode 8F21
