Stephane Catteau wrote:Hum, tu en es vraiment sûr ? Il ne faut pas se contenter de l'OS,
mais regarder aussi tout ce qui peut tourner dessus.
je suis bien d'accord, le tout c'est de ne pas ajouter soi-meme
les failles :)
Rien que le mois dernier, en combinant les problèmes de Gaim[1],
qui est porté sous MacOS X,
théoriquement oui, dans la pratique il faut que le pirate sache
faire un code d'attaque pour PPC qu'il puisse glisser dans son
overflow.
De plus, l'utilisateur Apple a plus vite fait d'utiliser iChat que
GAIM.
[Snip]
corrigée, de plus cela exige l'utilisation de Classic.
et par défaut la configuration de MacOS X est sûre.
D'après ce que j'ai pu lire (et comprendre surtout) et retenir
de discussion sur BugTraq et de quelques pages lues ailleurs, la
partie non BSD-based du code serait relativement brouillone. Du
coup, j'ai quand même des doutes sur la configuration par défaut
et sur la robustesse du système.
je parle surtout en terme d'intrusion provenant du réseau (le cas
qui nous interessait ici) : pas de ports ouverts par défaut, ni de
partage/serveur activé.
En local, ou si on ouvre des ports de maniere inconcidérée c'est
un tout autre probleme.
Sur FreeBSD Jail n'est pas en usage par défaut, mais pour OpenSSH
c'est effectivement problématique.
Mais si j'avais une machine sous MacOS X a te jeter en pâture je
serais ravi de te voir te battre avec :)
Stephane Catteau <steph.nospam@sc4x.net> wrote:
Hum, tu en es vraiment sûr ? Il ne faut pas se contenter de l'OS,
mais regarder aussi tout ce qui peut tourner dessus.
je suis bien d'accord, le tout c'est de ne pas ajouter soi-meme
les failles :)
Rien que le mois dernier, en combinant les problèmes de Gaim[1],
qui est porté sous MacOS X,
théoriquement oui, dans la pratique il faut que le pirate sache
faire un code d'attaque pour PPC qu'il puisse glisser dans son
overflow.
De plus, l'utilisateur Apple a plus vite fait d'utiliser iChat que
GAIM.
[Snip]
corrigée, de plus cela exige l'utilisation de Classic.
et par défaut la configuration de MacOS X est sûre.
D'après ce que j'ai pu lire (et comprendre surtout) et retenir
de discussion sur BugTraq et de quelques pages lues ailleurs, la
partie non BSD-based du code serait relativement brouillone. Du
coup, j'ai quand même des doutes sur la configuration par défaut
et sur la robustesse du système.
je parle surtout en terme d'intrusion provenant du réseau (le cas
qui nous interessait ici) : pas de ports ouverts par défaut, ni de
partage/serveur activé.
En local, ou si on ouvre des ports de maniere inconcidérée c'est
un tout autre probleme.
Sur FreeBSD Jail n'est pas en usage par défaut, mais pour OpenSSH
c'est effectivement problématique.
Mais si j'avais une machine sous MacOS X a te jeter en pâture je
serais ravi de te voir te battre avec :)
Stephane Catteau wrote:Hum, tu en es vraiment sûr ? Il ne faut pas se contenter de l'OS,
mais regarder aussi tout ce qui peut tourner dessus.
je suis bien d'accord, le tout c'est de ne pas ajouter soi-meme
les failles :)
Rien que le mois dernier, en combinant les problèmes de Gaim[1],
qui est porté sous MacOS X,
théoriquement oui, dans la pratique il faut que le pirate sache
faire un code d'attaque pour PPC qu'il puisse glisser dans son
overflow.
De plus, l'utilisateur Apple a plus vite fait d'utiliser iChat que
GAIM.
[Snip]
corrigée, de plus cela exige l'utilisation de Classic.
et par défaut la configuration de MacOS X est sûre.
D'après ce que j'ai pu lire (et comprendre surtout) et retenir
de discussion sur BugTraq et de quelques pages lues ailleurs, la
partie non BSD-based du code serait relativement brouillone. Du
coup, j'ai quand même des doutes sur la configuration par défaut
et sur la robustesse du système.
je parle surtout en terme d'intrusion provenant du réseau (le cas
qui nous interessait ici) : pas de ports ouverts par défaut, ni de
partage/serveur activé.
En local, ou si on ouvre des ports de maniere inconcidérée c'est
un tout autre probleme.
Sur FreeBSD Jail n'est pas en usage par défaut, mais pour OpenSSH
c'est effectivement problématique.
Mais si j'avais une machine sous MacOS X a te jeter en pâture je
serais ravi de te voir te battre avec :)
patpro wrote:In article ,et la faille de TruBlueEnvironment[2], qui est
interne au système,
corrigée, de plus cela exige l'utilisation de Classic.
A mettre en relation avec l'affirmation "probablement impénétrable
out-of-the-box" plus bas.
Out of the box c'est bien "without any patches" n'est-ce pas?...
Bref OS/X reste un unix-like et les précautions habituelles s'appliquent.
je pars du principe que MacOS X est plutot sûr par défaut, et
probablement impénétrable out-of-the-box.
Outre que c'est un des pires principes que je n'ai jamais vu niveau
sécurité[1] il est en contradiction avec le début de ce post.Je ne fais pas les mêmes
affirmations pour d'autres OS.
Même les afficionados des BSDs ont mis les basses sur ce thème.
S'il n'est pas admin (et ne peut avoir les droits) il va avoir du mal à
re-paramètrer son FW, non? (ou alors amha OS/X est bon pour la poubelle).
Une raison de plus, si besoin est, de créer un compte non privilégié sous
OS/X
Je te mets ma machine sous Win98 en pature sans rien faire dessus (ie je ne
surfe pas sur ton site par exemple :) )...
Le fait que tu n'entre pas la définie-t-elle comme sure pour autant (cf les
exploits de lancement auto d'exe via IE)?
patpro wrote:
In article c1t0i1.3vvcc8t.1@sc4x.org,
et la faille de TruBlueEnvironment[2], qui est
interne au système,
corrigée, de plus cela exige l'utilisation de Classic.
A mettre en relation avec l'affirmation "probablement impénétrable
out-of-the-box" plus bas.
Out of the box c'est bien "without any patches" n'est-ce pas?...
Bref OS/X reste un unix-like et les précautions habituelles s'appliquent.
je pars du principe que MacOS X est plutot sûr par défaut, et
probablement impénétrable out-of-the-box.
Outre que c'est un des pires principes que je n'ai jamais vu niveau
sécurité[1] il est en contradiction avec le début de ce post.
Je ne fais pas les mêmes
affirmations pour d'autres OS.
Même les afficionados des BSDs ont mis les basses sur ce thème.
S'il n'est pas admin (et ne peut avoir les droits) il va avoir du mal à
re-paramètrer son FW, non? (ou alors amha OS/X est bon pour la poubelle).
Une raison de plus, si besoin est, de créer un compte non privilégié sous
OS/X
Je te mets ma machine sous Win98 en pature sans rien faire dessus (ie je ne
surfe pas sur ton site par exemple :) )...
Le fait que tu n'entre pas la définie-t-elle comme sure pour autant (cf les
exploits de lancement auto d'exe via IE)?
patpro wrote:In article ,et la faille de TruBlueEnvironment[2], qui est
interne au système,
corrigée, de plus cela exige l'utilisation de Classic.
A mettre en relation avec l'affirmation "probablement impénétrable
out-of-the-box" plus bas.
Out of the box c'est bien "without any patches" n'est-ce pas?...
Bref OS/X reste un unix-like et les précautions habituelles s'appliquent.
je pars du principe que MacOS X est plutot sûr par défaut, et
probablement impénétrable out-of-the-box.
Outre que c'est un des pires principes que je n'ai jamais vu niveau
sécurité[1] il est en contradiction avec le début de ce post.Je ne fais pas les mêmes
affirmations pour d'autres OS.
Même les afficionados des BSDs ont mis les basses sur ce thème.
S'il n'est pas admin (et ne peut avoir les droits) il va avoir du mal à
re-paramètrer son FW, non? (ou alors amha OS/X est bon pour la poubelle).
Une raison de plus, si besoin est, de créer un compte non privilégié sous
OS/X
Je te mets ma machine sous Win98 en pature sans rien faire dessus (ie je ne
surfe pas sur ton site par exemple :) )...
Le fait que tu n'entre pas la définie-t-elle comme sure pour autant (cf les
exploits de lancement auto d'exe via IE)?
Partant de là, rien n'est à
négliger lorsque l'on cherche à savoir si le système est sûr ou non,
pas même les failles qui seront découvertes au coeur même du système
dans un mois, deux mois, peut-être même une heure, qui peut savoir ?
S'il s'agit d'un pirate, il saura le faire... Sinon qu'il se mette au
jardinage. Le fait que les exploits pour MacOS (X ou classic)
n'intéressent pas grand monde n'implique pas qu'il n'existe pas des
personnes à même de les écrire.
corrigée, de plus cela exige l'utilisation de Classic.
Ta réaction me fait penser à la politique de l'autruche. L'un des
vecteurs n'est pas ce qui se fait de mieux dans son domaine et l'autre
est une faille pour laquelle existe un patch[1], il n'y a donc aucun
risque et MacOS X reste un système sûr.
Pour autant, il existe au moins une personne sur Terre qui utilise
Gaim, la passerelle vers MacOS Classic et qui n'a pas patché son
système. Si d'aventure il lisait ton message il dormirait tranquille,
alors même qu'il se promène sur le réseau avec un ordinateur que
n'importe qui (disposant de compétence en programmation système sous
MacOS X) peut compromettre à haut niveau.[2]
je parle surtout en terme d'intrusion provenant du réseau (le cas
qui nous interessait ici) : pas de ports ouverts par défaut, ni de
partage/serveur activé.
Et tu oublies donc tout la part de social engineering.
Sur FreeBSD Jail n'est pas en usage par défaut, mais pour OpenSSH
c'est effectivement problématique.
Pardon ? Venant de quelqu'un qui ne connait pas FreeBSD, j'aurais pu
laisser passer, mais venant de quelqu'un qui indique dans son CV qu'il
a, entre autre, installé et administré un serveur HTTP sous FreeBSD, je
considère que c'est une énorme connerie ce que tu viens de dire. Jail
est la commande à connaitre avant tout installation d'un serveur sur du
FreeBSD[3] et par conséquent à considérer, à juste titre, comme étant
en usage par défaut.
Et puis de toute façon, même s'il y avait mieux à
disposition, la commande étant implantée dans le kernel, elle est en
usage par défaut.
Tu m'en jeterais une sous Windows en pature que je me démerderais tout
aussi mal ; je ne suis pas un pirate, juste quelqu'un qui, à force
d'apprendre (ici notament), commence à savoir comment protéger un
ordinateur et quelles sont les limites à toute sécurité.
Partant de là, rien n'est à
négliger lorsque l'on cherche à savoir si le système est sûr ou non,
pas même les failles qui seront découvertes au coeur même du système
dans un mois, deux mois, peut-être même une heure, qui peut savoir ?
S'il s'agit d'un pirate, il saura le faire... Sinon qu'il se mette au
jardinage. Le fait que les exploits pour MacOS (X ou classic)
n'intéressent pas grand monde n'implique pas qu'il n'existe pas des
personnes à même de les écrire.
corrigée, de plus cela exige l'utilisation de Classic.
Ta réaction me fait penser à la politique de l'autruche. L'un des
vecteurs n'est pas ce qui se fait de mieux dans son domaine et l'autre
est une faille pour laquelle existe un patch[1], il n'y a donc aucun
risque et MacOS X reste un système sûr.
Pour autant, il existe au moins une personne sur Terre qui utilise
Gaim, la passerelle vers MacOS Classic et qui n'a pas patché son
système. Si d'aventure il lisait ton message il dormirait tranquille,
alors même qu'il se promène sur le réseau avec un ordinateur que
n'importe qui (disposant de compétence en programmation système sous
MacOS X) peut compromettre à haut niveau.[2]
je parle surtout en terme d'intrusion provenant du réseau (le cas
qui nous interessait ici) : pas de ports ouverts par défaut, ni de
partage/serveur activé.
Et tu oublies donc tout la part de social engineering.
Sur FreeBSD Jail n'est pas en usage par défaut, mais pour OpenSSH
c'est effectivement problématique.
Pardon ? Venant de quelqu'un qui ne connait pas FreeBSD, j'aurais pu
laisser passer, mais venant de quelqu'un qui indique dans son CV qu'il
a, entre autre, installé et administré un serveur HTTP sous FreeBSD, je
considère que c'est une énorme connerie ce que tu viens de dire. Jail
est la commande à connaitre avant tout installation d'un serveur sur du
FreeBSD[3] et par conséquent à considérer, à juste titre, comme étant
en usage par défaut.
Et puis de toute façon, même s'il y avait mieux à
disposition, la commande étant implantée dans le kernel, elle est en
usage par défaut.
Tu m'en jeterais une sous Windows en pature que je me démerderais tout
aussi mal ; je ne suis pas un pirate, juste quelqu'un qui, à force
d'apprendre (ici notament), commence à savoir comment protéger un
ordinateur et quelles sont les limites à toute sécurité.
Partant de là, rien n'est à
négliger lorsque l'on cherche à savoir si le système est sûr ou non,
pas même les failles qui seront découvertes au coeur même du système
dans un mois, deux mois, peut-être même une heure, qui peut savoir ?
S'il s'agit d'un pirate, il saura le faire... Sinon qu'il se mette au
jardinage. Le fait que les exploits pour MacOS (X ou classic)
n'intéressent pas grand monde n'implique pas qu'il n'existe pas des
personnes à même de les écrire.
corrigée, de plus cela exige l'utilisation de Classic.
Ta réaction me fait penser à la politique de l'autruche. L'un des
vecteurs n'est pas ce qui se fait de mieux dans son domaine et l'autre
est une faille pour laquelle existe un patch[1], il n'y a donc aucun
risque et MacOS X reste un système sûr.
Pour autant, il existe au moins une personne sur Terre qui utilise
Gaim, la passerelle vers MacOS Classic et qui n'a pas patché son
système. Si d'aventure il lisait ton message il dormirait tranquille,
alors même qu'il se promène sur le réseau avec un ordinateur que
n'importe qui (disposant de compétence en programmation système sous
MacOS X) peut compromettre à haut niveau.[2]
je parle surtout en terme d'intrusion provenant du réseau (le cas
qui nous interessait ici) : pas de ports ouverts par défaut, ni de
partage/serveur activé.
Et tu oublies donc tout la part de social engineering.
Sur FreeBSD Jail n'est pas en usage par défaut, mais pour OpenSSH
c'est effectivement problématique.
Pardon ? Venant de quelqu'un qui ne connait pas FreeBSD, j'aurais pu
laisser passer, mais venant de quelqu'un qui indique dans son CV qu'il
a, entre autre, installé et administré un serveur HTTP sous FreeBSD, je
considère que c'est une énorme connerie ce que tu viens de dire. Jail
est la commande à connaitre avant tout installation d'un serveur sur du
FreeBSD[3] et par conséquent à considérer, à juste titre, comme étant
en usage par défaut.
Et puis de toute façon, même s'il y avait mieux à
disposition, la commande étant implantée dans le kernel, elle est en
usage par défaut.
Tu m'en jeterais une sous Windows en pature que je me démerderais tout
aussi mal ; je ne suis pas un pirate, juste quelqu'un qui, à force
d'apprendre (ici notament), commence à savoir comment protéger un
ordinateur et quelles sont les limites à toute sécurité.
et alors, c'est local uniquement, et ca necessite que tu lances
l'environnement Classic, qui n'est pas fonctionnel par défaut (il
necessite une installation spéciale supplémentaire, une activation, et
un lancement).
S'il n'est pas admin (et ne peut avoir les droits) il va avoir du
mal à re-paramètrer son FW, non? (ou alors amha OS/X est bon pour la
poubelle). Une raison de plus, si besoin est, de créer un compte non
privilégié sous OS/X
note que si il créé un user non privilégié pour surfer, c'est qu'il
est admin (sinon il ne crée pas de user), ça ne l'empeche donc pas de
faire n'importe quoi avec son FW en amont. Bref, ça n'a pas de sens ta
remarque, sauf si l'admin est compétent.
Bien évidemment, le cas de la machine qu'on prête est tout à fait
différent.
Chaque plate-forme a ses défauts, il se trouve que pour MacOS X il est
très dur de réunir les conditions permettant une exploitation à
distance pour une machine normalement configurée. Je dis pas que
demain il n'y aura pas un 0-Day delamokitu, mais pour un surfer isolé
les probabilités de problème sont plus qu'infimes.
Un seul bémol, Safari qui permettait le vol de cookie (jusqu'a fin
2003 je crois)
et alors, c'est local uniquement, et ca necessite que tu lances
l'environnement Classic, qui n'est pas fonctionnel par défaut (il
necessite une installation spéciale supplémentaire, une activation, et
un lancement).
S'il n'est pas admin (et ne peut avoir les droits) il va avoir du
mal à re-paramètrer son FW, non? (ou alors amha OS/X est bon pour la
poubelle). Une raison de plus, si besoin est, de créer un compte non
privilégié sous OS/X
note que si il créé un user non privilégié pour surfer, c'est qu'il
est admin (sinon il ne crée pas de user), ça ne l'empeche donc pas de
faire n'importe quoi avec son FW en amont. Bref, ça n'a pas de sens ta
remarque, sauf si l'admin est compétent.
Bien évidemment, le cas de la machine qu'on prête est tout à fait
différent.
Chaque plate-forme a ses défauts, il se trouve que pour MacOS X il est
très dur de réunir les conditions permettant une exploitation à
distance pour une machine normalement configurée. Je dis pas que
demain il n'y aura pas un 0-Day delamokitu, mais pour un surfer isolé
les probabilités de problème sont plus qu'infimes.
Un seul bémol, Safari qui permettait le vol de cookie (jusqu'a fin
2003 je crois)
et alors, c'est local uniquement, et ca necessite que tu lances
l'environnement Classic, qui n'est pas fonctionnel par défaut (il
necessite une installation spéciale supplémentaire, une activation, et
un lancement).
S'il n'est pas admin (et ne peut avoir les droits) il va avoir du
mal à re-paramètrer son FW, non? (ou alors amha OS/X est bon pour la
poubelle). Une raison de plus, si besoin est, de créer un compte non
privilégié sous OS/X
note que si il créé un user non privilégié pour surfer, c'est qu'il
est admin (sinon il ne crée pas de user), ça ne l'empeche donc pas de
faire n'importe quoi avec son FW en amont. Bref, ça n'a pas de sens ta
remarque, sauf si l'admin est compétent.
Bien évidemment, le cas de la machine qu'on prête est tout à fait
différent.
Chaque plate-forme a ses défauts, il se trouve que pour MacOS X il est
très dur de réunir les conditions permettant une exploitation à
distance pour une machine normalement configurée. Je dis pas que
demain il n'y aura pas un 0-Day delamokitu, mais pour un surfer isolé
les probabilités de problème sont plus qu'infimes.
Un seul bémol, Safari qui permettait le vol de cookie (jusqu'a fin
2003 je crois)
théoriquement oui, dans la pratique il faut que le pirate sache faire
un code d'attaque pour PPC qu'il puisse glisser dans son overflow.
théoriquement oui, dans la pratique il faut que le pirate sache faire
un code d'attaque pour PPC qu'il puisse glisser dans son overflow.
théoriquement oui, dans la pratique il faut que le pirate sache faire
un code d'attaque pour PPC qu'il puisse glisser dans son overflow.
En tout cas, c'est nettement moins stupide que de se loguer directement
en root.
Seriez gentils de garder "Hordes" ou "moutons" dans le sujet de vos
enfilades "débiles" ; comme ça, je peux demander à OE de les
filtrer.
-+- NM in Guide du linuxien pervers - "Bien configurer sa secrétaire"
En tout cas, c'est nettement moins stupide que de se loguer directement
en root.
Seriez gentils de garder "Hordes" ou "moutons" dans le sujet de vos
enfilades "débiles" ; comme ça, je peux demander à OE de les
filtrer.
-+- NM in Guide du linuxien pervers - "Bien configurer sa secrétaire"
En tout cas, c'est nettement moins stupide que de se loguer directement
en root.
Seriez gentils de garder "Hordes" ou "moutons" dans le sujet de vos
enfilades "débiles" ; comme ça, je peux demander à OE de les
filtrer.
-+- NM in Guide du linuxien pervers - "Bien configurer sa secrétaire"
Stephane Catteau wrote:Partant de là, rien n'est à négliger lorsque l'on cherche à savoir
si le système est sûr ou non, pas même les failles qui seront
découvertes au coeur même du système dans un mois, deux mois,
peut-être même une heure, qui peut savoir ?
c'est une question de prix et d'emmerdement, à mettre en balance
avec ce que ça te rapporte.
J'autruche pas, si l'utilisateur met sa machine en danger en
installant des softs véreux ce n'est pas la faute de l'OS.
Ok pour TruBlue, qui est livré avec et dont la responçabilité incombe
à Apple. Mais la mise a jour existe, et je n'ai aucune tendresse pour
les gens qui ne mettent pas a jour leurs OS.
Pour autant, il existe au moins une personne sur Terre qui [...]
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si on
en revient aux probabilités...
[...] P'tain, je crois que j'ai enfin trouvé quelqu'un qui aime
autant avoir raison que moi :)
Et puis de toute façon, même s'il y avait mieux à disposition, la
commande étant implantée dans le kernel, elle est en usage par
défaut.
t'exabuses un peu là.
Tu m'en jeterais une sous Windows en pature que je me démerderais
tout aussi mal ; je ne suis pas un pirate, juste quelqu'un qui, à
force d'apprendre (ici notament), commence à savoir comment
protéger un ordinateur et quelles sont les limites à toute
sécurité.
pareil, mais j'ai peut etre une vision plus économique du
probleme. J'estime que la sécurité maximum a un coût qui ne se
justifie pas tjrs pour un particulier.
Stephane Catteau <steph.nospam@sc4x.net> wrote:
Partant de là, rien n'est à négliger lorsque l'on cherche à savoir
si le système est sûr ou non, pas même les failles qui seront
découvertes au coeur même du système dans un mois, deux mois,
peut-être même une heure, qui peut savoir ?
c'est une question de prix et d'emmerdement, à mettre en balance
avec ce que ça te rapporte.
J'autruche pas, si l'utilisateur met sa machine en danger en
installant des softs véreux ce n'est pas la faute de l'OS.
Ok pour TruBlue, qui est livré avec et dont la responçabilité incombe
à Apple. Mais la mise a jour existe, et je n'ai aucune tendresse pour
les gens qui ne mettent pas a jour leurs OS.
Pour autant, il existe au moins une personne sur Terre qui [...]
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si on
en revient aux probabilités...
[...] P'tain, je crois que j'ai enfin trouvé quelqu'un qui aime
autant avoir raison que moi :)
Et puis de toute façon, même s'il y avait mieux à disposition, la
commande étant implantée dans le kernel, elle est en usage par
défaut.
t'exabuses un peu là.
Tu m'en jeterais une sous Windows en pature que je me démerderais
tout aussi mal ; je ne suis pas un pirate, juste quelqu'un qui, à
force d'apprendre (ici notament), commence à savoir comment
protéger un ordinateur et quelles sont les limites à toute
sécurité.
pareil, mais j'ai peut etre une vision plus économique du
probleme. J'estime que la sécurité maximum a un coût qui ne se
justifie pas tjrs pour un particulier.
Stephane Catteau wrote:Partant de là, rien n'est à négliger lorsque l'on cherche à savoir
si le système est sûr ou non, pas même les failles qui seront
découvertes au coeur même du système dans un mois, deux mois,
peut-être même une heure, qui peut savoir ?
c'est une question de prix et d'emmerdement, à mettre en balance
avec ce que ça te rapporte.
J'autruche pas, si l'utilisateur met sa machine en danger en
installant des softs véreux ce n'est pas la faute de l'OS.
Ok pour TruBlue, qui est livré avec et dont la responçabilité incombe
à Apple. Mais la mise a jour existe, et je n'ai aucune tendresse pour
les gens qui ne mettent pas a jour leurs OS.
Pour autant, il existe au moins une personne sur Terre qui [...]
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si on
en revient aux probabilités...
[...] P'tain, je crois que j'ai enfin trouvé quelqu'un qui aime
autant avoir raison que moi :)
Et puis de toute façon, même s'il y avait mieux à disposition, la
commande étant implantée dans le kernel, elle est en usage par
défaut.
t'exabuses un peu là.
Tu m'en jeterais une sous Windows en pature que je me démerderais
tout aussi mal ; je ne suis pas un pirate, juste quelqu'un qui, à
force d'apprendre (ici notament), commence à savoir comment
protéger un ordinateur et quelles sont les limites à toute
sécurité.
pareil, mais j'ai peut etre une vision plus économique du
probleme. J'estime que la sécurité maximum a un coût qui ne se
justifie pas tjrs pour un particulier.
c'est une question de prix et d'emmerdement, à mettre en balance
avec ce que ça te rapporte.
Bien sûr, mais quelles sont exactement les risques a ton avis ?
Et c'est là que l'on en revient à ta réponse : Le
prix et les emmerdements dû à un minimum de sécurité active sont
beaucoup moins élevés que si tu te retrouves ejecté par ton FAI[2],
tout en étant poursuivi en justice pour, au moins, complicitée passive
dans le cadre d'une attaque informatique.
Ok pour TruBlue, qui est livré avec et dont la responçabilité incombe
à Apple. Mais la mise a jour existe, et je n'ai aucune tendresse pour
les gens qui ne mettent pas a jour leurs OS.
Réaction outrancière amha, la résponsabilité de cette non mise à jour
est partagée entre les 75% d'utilisateurs lambda concernés *et* les
éditeurs qui oublient le plus souvent d'expliquer pourquoi de telles
mises à jours sont nécessaires. Du coup, sans excuser entièrement leur
manque de curiosité, on ne peut guère en vouloir aux utilisateurs
lambda de ne pas faire quelque chose dont ils ignorent l'importance,
l'intérêt et parfois même l'existence.
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si on
en revient aux probabilités...
Si l'on en revient aux probabilités, il y a autant d'utilisateurs
ignorant (ce qui n'est pas péjoratif) sous MacOS qu'il n'y en a sous
Linux,
ce qui fait un sacré nombre de personnes à ne pas avoir fait la
mise à jour. D'ailleurs, et sans intentions offensantes de ma part, la
personne à l'origine de cette discussion en fait probablement partie.
On a tous été des débutants un jour ou l'autre, jusqu'à ce que l'on
lise/entende des personnes qui en savaient plus que nous ; ce qui
ammène parfois à se considérer, retrospectivement parlant, comme de
sacrés imbéciles.
Cependant, la commande étant implantée dans le
kernel, elle a tendance à rester, même si elle ne sert jamais... sauf à
un pirate éventuel.
pareil, mais j'ai peut etre une vision plus économique du
probleme. J'estime que la sécurité maximum a un coût qui ne se
justifie pas tjrs pour un particulier.
Elle a un coup humain oui, mais c'est tout et encore celui-ci peut
être limité assez facilement.
Il existe toujours un moyen gratuit (et
légal ;-)) de contourner tel ou tel problème. Besoin d'un firewall ? Il
en existe plusieurs gratuits et efficace,
même chose pour les
anti-virus.
Ce qu'il faut bien comprendre, c'est que les "personnes qui savent" et
les programmeurs ne sont pas tous sous Linux ou Unix. Il y a donc
toujours du monde pour s'occuper d'un projet permettant de faire ceci
ou cela avec un minimum de sécurité et un minimum d'effort pour arriver
à passer partout.
c'est une question de prix et d'emmerdement, à mettre en balance
avec ce que ça te rapporte.
Bien sûr, mais quelles sont exactement les risques a ton avis ?
Et c'est là que l'on en revient à ta réponse : Le
prix et les emmerdements dû à un minimum de sécurité active sont
beaucoup moins élevés que si tu te retrouves ejecté par ton FAI[2],
tout en étant poursuivi en justice pour, au moins, complicitée passive
dans le cadre d'une attaque informatique.
Ok pour TruBlue, qui est livré avec et dont la responçabilité incombe
à Apple. Mais la mise a jour existe, et je n'ai aucune tendresse pour
les gens qui ne mettent pas a jour leurs OS.
Réaction outrancière amha, la résponsabilité de cette non mise à jour
est partagée entre les 75% d'utilisateurs lambda concernés *et* les
éditeurs qui oublient le plus souvent d'expliquer pourquoi de telles
mises à jours sont nécessaires. Du coup, sans excuser entièrement leur
manque de curiosité, on ne peut guère en vouloir aux utilisateurs
lambda de ne pas faire quelque chose dont ils ignorent l'importance,
l'intérêt et parfois même l'existence.
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si on
en revient aux probabilités...
Si l'on en revient aux probabilités, il y a autant d'utilisateurs
ignorant (ce qui n'est pas péjoratif) sous MacOS qu'il n'y en a sous
Linux,
ce qui fait un sacré nombre de personnes à ne pas avoir fait la
mise à jour. D'ailleurs, et sans intentions offensantes de ma part, la
personne à l'origine de cette discussion en fait probablement partie.
On a tous été des débutants un jour ou l'autre, jusqu'à ce que l'on
lise/entende des personnes qui en savaient plus que nous ; ce qui
ammène parfois à se considérer, retrospectivement parlant, comme de
sacrés imbéciles.
Cependant, la commande étant implantée dans le
kernel, elle a tendance à rester, même si elle ne sert jamais... sauf à
un pirate éventuel.
pareil, mais j'ai peut etre une vision plus économique du
probleme. J'estime que la sécurité maximum a un coût qui ne se
justifie pas tjrs pour un particulier.
Elle a un coup humain oui, mais c'est tout et encore celui-ci peut
être limité assez facilement.
Il existe toujours un moyen gratuit (et
légal ;-)) de contourner tel ou tel problème. Besoin d'un firewall ? Il
en existe plusieurs gratuits et efficace,
même chose pour les
anti-virus.
Ce qu'il faut bien comprendre, c'est que les "personnes qui savent" et
les programmeurs ne sont pas tous sous Linux ou Unix. Il y a donc
toujours du monde pour s'occuper d'un projet permettant de faire ceci
ou cela avec un minimum de sécurité et un minimum d'effort pour arriver
à passer partout.
c'est une question de prix et d'emmerdement, à mettre en balance
avec ce que ça te rapporte.
Bien sûr, mais quelles sont exactement les risques a ton avis ?
Et c'est là que l'on en revient à ta réponse : Le
prix et les emmerdements dû à un minimum de sécurité active sont
beaucoup moins élevés que si tu te retrouves ejecté par ton FAI[2],
tout en étant poursuivi en justice pour, au moins, complicitée passive
dans le cadre d'une attaque informatique.
Ok pour TruBlue, qui est livré avec et dont la responçabilité incombe
à Apple. Mais la mise a jour existe, et je n'ai aucune tendresse pour
les gens qui ne mettent pas a jour leurs OS.
Réaction outrancière amha, la résponsabilité de cette non mise à jour
est partagée entre les 75% d'utilisateurs lambda concernés *et* les
éditeurs qui oublient le plus souvent d'expliquer pourquoi de telles
mises à jours sont nécessaires. Du coup, sans excuser entièrement leur
manque de curiosité, on ne peut guère en vouloir aux utilisateurs
lambda de ne pas faire quelque chose dont ils ignorent l'importance,
l'intérêt et parfois même l'existence.
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si on
en revient aux probabilités...
Si l'on en revient aux probabilités, il y a autant d'utilisateurs
ignorant (ce qui n'est pas péjoratif) sous MacOS qu'il n'y en a sous
Linux,
ce qui fait un sacré nombre de personnes à ne pas avoir fait la
mise à jour. D'ailleurs, et sans intentions offensantes de ma part, la
personne à l'origine de cette discussion en fait probablement partie.
On a tous été des débutants un jour ou l'autre, jusqu'à ce que l'on
lise/entende des personnes qui en savaient plus que nous ; ce qui
ammène parfois à se considérer, retrospectivement parlant, comme de
sacrés imbéciles.
Cependant, la commande étant implantée dans le
kernel, elle a tendance à rester, même si elle ne sert jamais... sauf à
un pirate éventuel.
pareil, mais j'ai peut etre une vision plus économique du
probleme. J'estime que la sécurité maximum a un coût qui ne se
justifie pas tjrs pour un particulier.
Elle a un coup humain oui, mais c'est tout et encore celui-ci peut
être limité assez facilement.
Il existe toujours un moyen gratuit (et
légal ;-)) de contourner tel ou tel problème. Besoin d'un firewall ? Il
en existe plusieurs gratuits et efficace,
même chose pour les
anti-virus.
Ce qu'il faut bien comprendre, c'est que les "personnes qui savent" et
les programmeurs ne sont pas tous sous Linux ou Unix. Il y a donc
toujours du monde pour s'occuper d'un projet permettant de faire ceci
ou cela avec un minimum de sécurité et un minimum d'effort pour arriver
à passer partout.
Stephane Catteau wrote:c'est une question de prix et d'emmerdement, à mettre en
balance avec ce que ça te rapporte.
Bien sûr, mais quelles sont exactement les risques a ton avis ?
très faible, en comparaison des milliers (millions ?) de tentatives
semi-automatisées des script-kiddies ou automatiques des virus et
autres machine a faire des spam-relay.
comme on en est là, quel est l'état de la loi et de la jurisprudence
à propos des possesseurs physiques de machines compromises ? (dans
l'hypothese ou on montre qu'elles n'etaient pas au courant)
par défaut, MacOS X vérifie une fois par semaine (si une connexion
internet est disponible) si il existe des mises a jours que
l'utilisateur n'a pas installées.
Chaque description de mise a jour trouvée explique sommairement ce
qui va être mis à jour, et parfois pourquoi ça va être mis à jour.
Notamment, les mises à jour de sécurité sont estampillées "Sécurité".
Ca c'est pour les +. Pour les moins, avec panther il est maintenant
plus facile qu'avec Jaguar de se dispenser de faire une mise à jour,
ergonomiquement parlant. Comme il faut etre admin pour installer une
mise a jour, je serais curieux de savoir comment évoluerait un parc
informatique ou tous les utilisateurs doivent se re-loguer sous un
compte admin pour installer une mise à jour, face à un parc ou les
utilisateurs n'ont qu'à mettre leur mot de passe pour lancer la
procédure [1]. Cela dit, l'éducation n'est pas impossible...
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si
on en revient aux probabilités...
Si l'on en revient aux probabilités, il y a autant d'utilisateurs
ignorant (ce qui n'est pas péjoratif) sous MacOS qu'il n'y en a
sous Linux,
bien plus :)
C'est un héritage de MacOS 9 et inférieur, où l'utilisateur
omnipotent pouvait faire n'importe quoi avec son système [2]
Elle a un coup humain oui, mais c'est tout et encore celui-ci
peut être limité assez facilement.
se former suffisamment pour comprendre ce que l'on fait quand on
configure un Firewall, c'est a mon avis un coup très élévé pour
quelqu'un qui fait métro-boulot-dodo et qui a une famille qui
l'attend chez lui quand il rentre le soir (hmmm, cliché).
Comment envisager l'éducation informatique d'un profane qui n'aura
ni le désir ni le temps de mettre a jour ses connaissances, de
suivre les alertes de sécurité pour son Firewall tout neuf, de
bien en lire le manuel pour ne pas le configurer a l'envers ?
Plus on encourage les gens a se cacher derriere des briques
logicielles plus la qualité de ces briques devient problématique.
Il existe toujours un moyen gratuit (et légal ;-)) de contourner tel
ou tel problème. Besoin d'un firewall ? Il en existe plusieurs
gratuits et efficace,
ipfw sur OSX par exemple, malheureusement l'interface graphique
n'agit que sur le TCP, pas sur l'UDP...
même chose pour les anti-virus.
une pensée émue pour les MacUsers utilisant Norton AV, qui ont vu
toute leur mailbox (fichier .mbox) supprimée par l'AV le jour ou
ils ont reçu un virus mydoom. Et en plus il est payant celui là :)
[Snip]
ouais, ben moi j'aimerais bien que le gars qui bosse sur systrace
pour OSX avance [3]. Malheureusement j'ai pas de Mac à lui donner.
Stephane Catteau <steph.nospam@sc4x.net> wrote:
c'est une question de prix et d'emmerdement, à mettre en
balance avec ce que ça te rapporte.
Bien sûr, mais quelles sont exactement les risques a ton avis ?
très faible, en comparaison des milliers (millions ?) de tentatives
semi-automatisées des script-kiddies ou automatiques des virus et
autres machine a faire des spam-relay.
comme on en est là, quel est l'état de la loi et de la jurisprudence
à propos des possesseurs physiques de machines compromises ? (dans
l'hypothese ou on montre qu'elles n'etaient pas au courant)
par défaut, MacOS X vérifie une fois par semaine (si une connexion
internet est disponible) si il existe des mises a jours que
l'utilisateur n'a pas installées.
Chaque description de mise a jour trouvée explique sommairement ce
qui va être mis à jour, et parfois pourquoi ça va être mis à jour.
Notamment, les mises à jour de sécurité sont estampillées "Sécurité".
Ca c'est pour les +. Pour les moins, avec panther il est maintenant
plus facile qu'avec Jaguar de se dispenser de faire une mise à jour,
ergonomiquement parlant. Comme il faut etre admin pour installer une
mise a jour, je serais curieux de savoir comment évoluerait un parc
informatique ou tous les utilisateurs doivent se re-loguer sous un
compte admin pour installer une mise à jour, face à un parc ou les
utilisateurs n'ont qu'à mettre leur mot de passe pour lancer la
procédure [1]. Cela dit, l'éducation n'est pas impossible...
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si
on en revient aux probabilités...
Si l'on en revient aux probabilités, il y a autant d'utilisateurs
ignorant (ce qui n'est pas péjoratif) sous MacOS qu'il n'y en a
sous Linux,
bien plus :)
C'est un héritage de MacOS 9 et inférieur, où l'utilisateur
omnipotent pouvait faire n'importe quoi avec son système [2]
Elle a un coup humain oui, mais c'est tout et encore celui-ci
peut être limité assez facilement.
se former suffisamment pour comprendre ce que l'on fait quand on
configure un Firewall, c'est a mon avis un coup très élévé pour
quelqu'un qui fait métro-boulot-dodo et qui a une famille qui
l'attend chez lui quand il rentre le soir (hmmm, cliché).
Comment envisager l'éducation informatique d'un profane qui n'aura
ni le désir ni le temps de mettre a jour ses connaissances, de
suivre les alertes de sécurité pour son Firewall tout neuf, de
bien en lire le manuel pour ne pas le configurer a l'envers ?
Plus on encourage les gens a se cacher derriere des briques
logicielles plus la qualité de ces briques devient problématique.
Il existe toujours un moyen gratuit (et légal ;-)) de contourner tel
ou tel problème. Besoin d'un firewall ? Il en existe plusieurs
gratuits et efficace,
ipfw sur OSX par exemple, malheureusement l'interface graphique
n'agit que sur le TCP, pas sur l'UDP...
même chose pour les anti-virus.
une pensée émue pour les MacUsers utilisant Norton AV, qui ont vu
toute leur mailbox (fichier .mbox) supprimée par l'AV le jour ou
ils ont reçu un virus mydoom. Et en plus il est payant celui là :)
[Snip]
ouais, ben moi j'aimerais bien que le gars qui bosse sur systrace
pour OSX avance [3]. Malheureusement j'ai pas de Mac à lui donner.
Stephane Catteau wrote:c'est une question de prix et d'emmerdement, à mettre en
balance avec ce que ça te rapporte.
Bien sûr, mais quelles sont exactement les risques a ton avis ?
très faible, en comparaison des milliers (millions ?) de tentatives
semi-automatisées des script-kiddies ou automatiques des virus et
autres machine a faire des spam-relay.
comme on en est là, quel est l'état de la loi et de la jurisprudence
à propos des possesseurs physiques de machines compromises ? (dans
l'hypothese ou on montre qu'elles n'etaient pas au courant)
par défaut, MacOS X vérifie une fois par semaine (si une connexion
internet est disponible) si il existe des mises a jours que
l'utilisateur n'a pas installées.
Chaque description de mise a jour trouvée explique sommairement ce
qui va être mis à jour, et parfois pourquoi ça va être mis à jour.
Notamment, les mises à jour de sécurité sont estampillées "Sécurité".
Ca c'est pour les +. Pour les moins, avec panther il est maintenant
plus facile qu'avec Jaguar de se dispenser de faire une mise à jour,
ergonomiquement parlant. Comme il faut etre admin pour installer une
mise a jour, je serais curieux de savoir comment évoluerait un parc
informatique ou tous les utilisateurs doivent se re-loguer sous un
compte admin pour installer une mise à jour, face à un parc ou les
utilisateurs n'ont qu'à mettre leur mot de passe pour lancer la
procédure [1]. Cela dit, l'éducation n'est pas impossible...
oui, je suis d'accord, j'ai péché par optimisme, cela dit, si
on en revient aux probabilités...
Si l'on en revient aux probabilités, il y a autant d'utilisateurs
ignorant (ce qui n'est pas péjoratif) sous MacOS qu'il n'y en a
sous Linux,
bien plus :)
C'est un héritage de MacOS 9 et inférieur, où l'utilisateur
omnipotent pouvait faire n'importe quoi avec son système [2]
Elle a un coup humain oui, mais c'est tout et encore celui-ci
peut être limité assez facilement.
se former suffisamment pour comprendre ce que l'on fait quand on
configure un Firewall, c'est a mon avis un coup très élévé pour
quelqu'un qui fait métro-boulot-dodo et qui a une famille qui
l'attend chez lui quand il rentre le soir (hmmm, cliché).
Comment envisager l'éducation informatique d'un profane qui n'aura
ni le désir ni le temps de mettre a jour ses connaissances, de
suivre les alertes de sécurité pour son Firewall tout neuf, de
bien en lire le manuel pour ne pas le configurer a l'envers ?
Plus on encourage les gens a se cacher derriere des briques
logicielles plus la qualité de ces briques devient problématique.
Il existe toujours un moyen gratuit (et légal ;-)) de contourner tel
ou tel problème. Besoin d'un firewall ? Il en existe plusieurs
gratuits et efficace,
ipfw sur OSX par exemple, malheureusement l'interface graphique
n'agit que sur le TCP, pas sur l'UDP...
même chose pour les anti-virus.
une pensée émue pour les MacUsers utilisant Norton AV, qui ont vu
toute leur mailbox (fichier .mbox) supprimée par l'AV le jour ou
ils ont reçu un virus mydoom. Et en plus il est payant celui là :)
[Snip]
ouais, ben moi j'aimerais bien que le gars qui bosse sur systrace
pour OSX avance [3]. Malheureusement j'ai pas de Mac à lui donner.