On Sat, 29 May 2004 12:35:11 +0000, Cedric Blancher wrote:
Je ne connais cependant pas un scanner qui permette de détecter des failles non publiées ;)
En chipotant, on pourrait considérer que les plugins "CGI torture" de Nessus et les fuzzers (comme Spike ou mielietools) entrent dans cette catégorie ...
Nicob
On Sat, 29 May 2004 12:35:11 +0000, Cedric Blancher wrote:
Je ne connais cependant pas un scanner qui permette de détecter des
failles non publiées ;)
En chipotant, on pourrait considérer que les plugins "CGI torture"
de Nessus et les fuzzers (comme Spike ou mielietools) entrent dans cette
catégorie ...
On Sat, 29 May 2004 12:35:11 +0000, Cedric Blancher wrote:
Je ne connais cependant pas un scanner qui permette de détecter des failles non publiées ;)
En chipotant, on pourrait considérer que les plugins "CGI torture" de Nessus et les fuzzers (comme Spike ou mielietools) entrent dans cette catégorie ...
Nicob
newsread
Bonjour,
merci pour ce fil très intéressant. Je regrette qu'il n'y est plus de place au sstic, sinon j'aurais offert un pot !
Avec tous ces avertissements, j'ai pensé qu'il était préférable pour moi d'agir ... par un message expliquant la faille sur le forum de l'éditeur dans la rubrique wishlist (liste d'améliorations souhaitées pour les nouvelles versions).
A+ Dan
Bonjour,
merci pour ce fil très intéressant. Je regrette qu'il n'y est
plus de place au sstic, sinon j'aurais offert un pot !
Avec tous ces avertissements, j'ai pensé qu'il était préférable
pour moi d'agir ... par un message expliquant la faille sur le
forum de l'éditeur dans la rubrique wishlist (liste
d'améliorations souhaitées pour les nouvelles versions).
merci pour ce fil très intéressant. Je regrette qu'il n'y est plus de place au sstic, sinon j'aurais offert un pot !
Avec tous ces avertissements, j'ai pensé qu'il était préférable pour moi d'agir ... par un message expliquant la faille sur le forum de l'éditeur dans la rubrique wishlist (liste d'améliorations souhaitées pour les nouvelles versions).
A+ Dan
Nicob
On Sun, 30 May 2004 11:26:49 +0000, newsread wrote:
Avec tous ces avertissements, j'ai pensé qu'il était préférable pour moi d'agir ... par un message expliquant la faille sur le forum de l'éditeur dans la rubrique wishlist (liste d'améliorations souhaitées pour les nouvelles versions).
Si je peux me permettre, le fait de publier l'info sur un forum public (même si c'est dans la rubrique "Wishlist" du site de l'éditeur) t'expose au refrain classique : "cet irresponsable n'a pas informé l'éditeur avant de publier cette vulnérabilité, exposant ainsi nos clients à des risques inconsidérés".
Pour résumer, les positions les moins dangereuses sont AMA : - fermer sa gueule - passer par un CERT français (efficace surtout vers les administrations et les sociétés françaises) - écrire à l'éditeur via une adresse hushmail (ou assimilé)
Sachant que l'ensemble des politiques de publication de failles considère la divulgation publique comme une extrémité regrettable, dans le cas d'une abscence totale de réaction de l'éditeur ...
Nicob
On Sun, 30 May 2004 11:26:49 +0000, newsread wrote:
Avec tous ces avertissements, j'ai pensé qu'il était préférable pour
moi d'agir ... par un message expliquant la faille sur le forum de
l'éditeur dans la rubrique wishlist (liste d'améliorations souhaitées
pour les nouvelles versions).
Si je peux me permettre, le fait de publier l'info sur un forum public
(même si c'est dans la rubrique "Wishlist" du site de l'éditeur)
t'expose au refrain classique : "cet irresponsable n'a pas informé
l'éditeur avant de publier cette vulnérabilité, exposant ainsi nos
clients à des risques inconsidérés".
Pour résumer, les positions les moins dangereuses sont AMA :
- fermer sa gueule
- passer par un CERT français (efficace surtout vers les administrations
et les sociétés françaises)
- écrire à l'éditeur via une adresse hushmail (ou assimilé)
Sachant que l'ensemble des politiques de publication de failles considère
la divulgation publique comme une extrémité regrettable, dans le cas
d'une abscence totale de réaction de l'éditeur ...
On Sun, 30 May 2004 11:26:49 +0000, newsread wrote:
Avec tous ces avertissements, j'ai pensé qu'il était préférable pour moi d'agir ... par un message expliquant la faille sur le forum de l'éditeur dans la rubrique wishlist (liste d'améliorations souhaitées pour les nouvelles versions).
Si je peux me permettre, le fait de publier l'info sur un forum public (même si c'est dans la rubrique "Wishlist" du site de l'éditeur) t'expose au refrain classique : "cet irresponsable n'a pas informé l'éditeur avant de publier cette vulnérabilité, exposant ainsi nos clients à des risques inconsidérés".
Pour résumer, les positions les moins dangereuses sont AMA : - fermer sa gueule - passer par un CERT français (efficace surtout vers les administrations et les sociétés françaises) - écrire à l'éditeur via une adresse hushmail (ou assimilé)
Sachant que l'ensemble des politiques de publication de failles considère la divulgation publique comme une extrémité regrettable, dans le cas d'une abscence totale de réaction de l'éditeur ...
Nicob
LaDDL
Nicob wrote:
Perso, je suis pour le full-disclosure, Imho/amha je suis pour le "responsible-disclosure". Il est bien loin le
temps du "full-disclosure" que l'on a connu et pratiqué durant toutes ces dernières années. L'Internet et ses enjeux ont profondémment évolué. Il faut s'adapter à la nouvelle donne/réalité. La publication de vulnérabilités doit être plus structurée entre acteurs de la sécurité.
Pour ceux qui auraient manqué qq épisodes sur le débat "full-disclosure" voici un petit cours de rattrapage avec ce papier tiré du SANS (un bon résumé mais ce n'est pas le seul vous pouvez aussi requêtez dans les mailing-list spécialisées) : http://www.sans.org/rr/papers/index.php?id2 ou www.sans.org/rr/papers/60/932.pdf
Nicob wrote:
Perso, je suis pour le full-disclosure,
Imho/amha je suis pour le "responsible-disclosure". Il est bien loin le
temps du "full-disclosure" que l'on a connu et pratiqué durant toutes
ces dernières années. L'Internet et ses enjeux ont profondémment évolué.
Il faut s'adapter à la nouvelle donne/réalité. La publication de
vulnérabilités doit être plus structurée entre acteurs de la sécurité.
Pour ceux qui auraient manqué qq épisodes sur le débat "full-disclosure"
voici un petit cours de rattrapage avec ce papier tiré du SANS (un bon
résumé mais ce n'est pas le seul vous pouvez aussi requêtez dans les
mailing-list spécialisées) :
http://www.sans.org/rr/papers/index.php?id2
ou
www.sans.org/rr/papers/60/932.pdf
Perso, je suis pour le full-disclosure, Imho/amha je suis pour le "responsible-disclosure". Il est bien loin le
temps du "full-disclosure" que l'on a connu et pratiqué durant toutes ces dernières années. L'Internet et ses enjeux ont profondémment évolué. Il faut s'adapter à la nouvelle donne/réalité. La publication de vulnérabilités doit être plus structurée entre acteurs de la sécurité.
Pour ceux qui auraient manqué qq épisodes sur le débat "full-disclosure" voici un petit cours de rattrapage avec ce papier tiré du SANS (un bon résumé mais ce n'est pas le seul vous pouvez aussi requêtez dans les mailing-list spécialisées) : http://www.sans.org/rr/papers/index.php?id2 ou www.sans.org/rr/papers/60/932.pdf
