Bonjour, j'utilise vm_pop3d pour un petit serveur de courrier, mais à
l'installation du package freebsd me dit qu'il n'est pas certain de la
sécurité de ce logiciel.
Avez-vous d'autres serveurs plus fiables ou sécuritaires que vmpop3d et
pourquoi ce message?
Bien parceque je ne l'ai plus sous la main et qu'il est seulement lisable lors de l'install! ^^^^^^^
Oula !! ca fait mal aux yeux dés le matin ca !
espie
In article , Philippe Chevalier wrote:
Si c'est le message auquel je pense, c'est un message systématique de disclaimer chaque fois qu'un port installe un programme susceptible de servir de "serveur réseau" ou avec un suidbit.
Genre "attention, ce programme vient d'installer tel truc, qui peut servir a accéder a votre machine via le réseau et si ya des trous de sécurité dedans, c'est a vos risques et périls".
En bref, tu peux ignorer ce message : tu aura le meme quel que soit le package pop3 que tu installera. C'est juste un disclaimer.
Au début ca fait peur, mais après tu t'en fous :)
Ca fait toujours peur. Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles de dire si tel ou tel package est buggue ou pas.
Personne pour vraiment jeter un oeil au code, et essayer de s'assurer qu'il n'y a pas de trou dedans.
Histoire de bien laisser l'utilisateur choisir tout seul, qu'il se renseigne sur les mailing-lists par lui-meme, qu'il pose les bonnes questions, histoire de devenir 3l33t et de flamer les n3w813s.
Il y avait un autre OS comme ca dans le temps, au packaging merdique, sans aucune decision editoriale quant a l'inclusion de tel ou tel package et aux trous de securites afferents.
Ca s'appelait comment deja ?
Ah oui.
Linux.
In article <slrncikf7i.2aq9.news@dspnet.fr.eu.org>,
Philippe Chevalier <news@kyoko.org> wrote:
Si c'est le message auquel je pense, c'est un message systématique de
disclaimer chaque fois qu'un port installe un programme susceptible de
servir de "serveur réseau" ou avec un suidbit.
Genre "attention, ce programme vient d'installer tel truc, qui peut servir a
accéder a votre machine via le réseau et si ya des trous de sécurité
dedans, c'est a vos risques et périls".
En bref, tu peux ignorer ce message : tu aura le meme quel que soit le
package pop3 que tu installera. C'est juste un disclaimer.
Au début ca fait peur, mais après tu t'en fous :)
Ca fait toujours peur.
Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles
de dire si tel ou tel package est buggue ou pas.
Personne pour vraiment jeter un oeil au code, et essayer de s'assurer
qu'il n'y a pas de trou dedans.
Histoire de bien laisser l'utilisateur choisir tout seul, qu'il se
renseigne sur les mailing-lists par lui-meme, qu'il pose les bonnes
questions, histoire de devenir 3l33t et de flamer les n3w813s.
Il y avait un autre OS comme ca dans le temps, au packaging merdique,
sans aucune decision editoriale quant a l'inclusion de tel ou tel package
et aux trous de securites afferents.
Si c'est le message auquel je pense, c'est un message systématique de disclaimer chaque fois qu'un port installe un programme susceptible de servir de "serveur réseau" ou avec un suidbit.
Genre "attention, ce programme vient d'installer tel truc, qui peut servir a accéder a votre machine via le réseau et si ya des trous de sécurité dedans, c'est a vos risques et périls".
En bref, tu peux ignorer ce message : tu aura le meme quel que soit le package pop3 que tu installera. C'est juste un disclaimer.
Au début ca fait peur, mais après tu t'en fous :)
Ca fait toujours peur. Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles de dire si tel ou tel package est buggue ou pas.
Personne pour vraiment jeter un oeil au code, et essayer de s'assurer qu'il n'y a pas de trou dedans.
Histoire de bien laisser l'utilisateur choisir tout seul, qu'il se renseigne sur les mailing-lists par lui-meme, qu'il pose les bonnes questions, histoire de devenir 3l33t et de flamer les n3w813s.
Il y avait un autre OS comme ca dans le temps, au packaging merdique, sans aucune decision editoriale quant a l'inclusion de tel ou tel package et aux trous de securites afferents.
${ECHO_MSG} " If there are vulnerabilities in these programs there may be a security"; ${ECHO_MSG} " risk to the system. FreeBSD makes no guarantee about the security of"; ${ECHO_MSG} " ports included in the Ports Collection. Please type 'make deinstall'"; ${ECHO_MSG} " to deinstall the port if this is a concern.";
Encore plus peur. En particulier, l'absence de discrimination entre des choses assez basiques (accept/recvfrom), de niveau de probleme different (setugid jailed_user, c'est pas pareil que setuid root) ou carrement tres mauvais sans audit manuel (world-writable et insecure functions).
Bref, un tel message en devient banal. Ce qui fait qu'on s'habitue, et qu'il ne sert strictement plus a rien.
In article <slrncilr53.2aq9.news@dspnet.fr.eu.org>,
Philippe Chevalier <news@kyoko.org> wrote:
${ECHO_MSG} " If there are vulnerabilities in these programs there
may be a security";
${ECHO_MSG} " risk to the system. FreeBSD makes no guarantee about
the security of";
${ECHO_MSG} " ports included in the Ports Collection. Please type
'make deinstall'";
${ECHO_MSG} " to deinstall the port if this is a concern.";
Encore plus peur.
En particulier, l'absence de discrimination entre des choses assez
basiques (accept/recvfrom), de niveau de probleme different
(setugid jailed_user, c'est pas pareil que setuid root) ou carrement tres
mauvais sans audit manuel (world-writable et insecure functions).
Bref, un tel message en devient banal. Ce qui fait qu'on s'habitue, et
qu'il ne sert strictement plus a rien.
${ECHO_MSG} " If there are vulnerabilities in these programs there may be a security"; ${ECHO_MSG} " risk to the system. FreeBSD makes no guarantee about the security of"; ${ECHO_MSG} " ports included in the Ports Collection. Please type 'make deinstall'"; ${ECHO_MSG} " to deinstall the port if this is a concern.";
Encore plus peur. En particulier, l'absence de discrimination entre des choses assez basiques (accept/recvfrom), de niveau de probleme different (setugid jailed_user, c'est pas pareil que setuid root) ou carrement tres mauvais sans audit manuel (world-writable et insecure functions).
Bref, un tel message en devient banal. Ce qui fait qu'on s'habitue, et qu'il ne sert strictement plus a rien.
Eric Masson
"Marc" == Marc Espie writes:
'Lut,
Marc> Personne pour vraiment jeter un oeil au code, et essayer de Marc> s'assurer qu'il n'y a pas de trou dedans.
Serieusement, vous le faites sur tous les ports d'Open ?
Sur le principe, tu peux tout de meme difficilement auditer tous les ports comme vous le faites pour src, sinon c'est une armee de developpeurs qu'il faut.
Amha pour Free en ce moment, le probleme est de s'assurer que les ports compilent sur toutes les archi et branches en cours (ca semble deja leur donner un paquet de taf)
Eric Masson
-- BS> Tavergiste, c'est ma tournée ! Je prendrais une girafe. -+- TT in www.le-gnu.net : Pressée ou frappée -+-
"Marc" == Marc Espie <espie@tetto.gentiane.org> writes:
'Lut,
Marc> Personne pour vraiment jeter un oeil au code, et essayer de
Marc> s'assurer qu'il n'y a pas de trou dedans.
Serieusement, vous le faites sur tous les ports d'Open ?
Sur le principe, tu peux tout de meme difficilement auditer tous les
ports comme vous le faites pour src, sinon c'est une armee de
developpeurs qu'il faut.
Amha pour Free en ce moment, le probleme est de s'assurer que les ports
compilent sur toutes les archi et branches en cours (ca semble deja leur
donner un paquet de taf)
Eric Masson
--
BS> Tavergiste, c'est ma tournée !
Je prendrais une girafe.
-+- TT in www.le-gnu.net : Pressée ou frappée -+-
Marc> Personne pour vraiment jeter un oeil au code, et essayer de Marc> s'assurer qu'il n'y a pas de trou dedans.
Serieusement, vous le faites sur tous les ports d'Open ?
Sur le principe, tu peux tout de meme difficilement auditer tous les ports comme vous le faites pour src, sinon c'est une armee de developpeurs qu'il faut.
Amha pour Free en ce moment, le probleme est de s'assurer que les ports compilent sur toutes les archi et branches en cours (ca semble deja leur donner un paquet de taf)
Eric Masson
-- BS> Tavergiste, c'est ma tournée ! Je prendrais une girafe. -+- TT in www.le-gnu.net : Pressée ou frappée -+-
talon
Marc Espie wrote:
Il y avait un autre OS comme ca dans le temps, au packaging merdique, sans aucune decision editoriale quant a l'inclusion de tel ou tel package et aux trous de securites afferents.
Ce que tu sous entend comme bonne pratique en matière de packaging est pour moi une abomination. Ce que je souhaite du système de ports c'est d'en avoir le plus possible, les plus récents possibles, et si possible qui marchent. Tout autre intervention "éditoriale" me paraîtrait scandaleuse, tout comme je trouve scandaleuses les interventions du même type dans la presse scientifique. En d'autres termes, les éditeurs on n'en a pas besoin.
Celui qui veut un système "audité" sait où s'adresser.
Ca s'appelait comment deja ?
Ah oui.
Linux.
En d'autres termes Linux et FreeBSD les systèmes libres les plus populaires et de loin, il faut croire que les gens sont fêlés :-)
-- Michel Talon
Marc Espie <espie@tetto.gentiane.org> wrote:
Il y avait un autre OS comme ca dans le temps, au packaging merdique,
sans aucune decision editoriale quant a l'inclusion de tel ou tel package
et aux trous de securites afferents.
Ce que tu sous entend comme bonne pratique en matière de packaging est pour
moi une abomination. Ce que je souhaite du système de ports c'est d'en avoir le
plus possible, les plus récents possibles, et si possible qui marchent. Tout
autre intervention "éditoriale" me paraîtrait scandaleuse, tout comme je
trouve scandaleuses les interventions du même type dans la presse
scientifique. En d'autres termes, les éditeurs on n'en a pas besoin.
Celui qui veut un système "audité" sait où s'adresser.
Ca s'appelait comment deja ?
Ah oui.
Linux.
En d'autres termes Linux et FreeBSD les systèmes libres les plus populaires et
de loin, il faut croire que les gens sont fêlés :-)
Il y avait un autre OS comme ca dans le temps, au packaging merdique, sans aucune decision editoriale quant a l'inclusion de tel ou tel package et aux trous de securites afferents.
Ce que tu sous entend comme bonne pratique en matière de packaging est pour moi une abomination. Ce que je souhaite du système de ports c'est d'en avoir le plus possible, les plus récents possibles, et si possible qui marchent. Tout autre intervention "éditoriale" me paraîtrait scandaleuse, tout comme je trouve scandaleuses les interventions du même type dans la presse scientifique. En d'autres termes, les éditeurs on n'en a pas besoin.
Celui qui veut un système "audité" sait où s'adresser.
Ca s'appelait comment deja ?
Ah oui.
Linux.
En d'autres termes Linux et FreeBSD les systèmes libres les plus populaires et de loin, il faut croire que les gens sont fêlés :-)
-- Michel Talon
TheFelin
"Machin" == TheFelin writes:
Machin> C'est pas un message de mon serveur sinon je l'aurais donné, Machin> mais un message sur pas mal de package serveur. Point!
C'est ton probleme, c'est donc a toi de fournir les elements pas aux autres de chercher, mais bon, c'est probablement trop complique a comprendre pour un mec qui ne comprend deja pas que sa question de choix de pop3d serait a sa place sur fr.comp.mail et pas ici.
Eric Masson
Arréte de jouer la vierge effarouchée toi et retourne à ta config de bsd
ta rien a faire ici pour envoyer chier les gens de la sorte. POINT! Baltringue va!
Machin> C'est pas un message de mon serveur sinon je l'aurais donné,
Machin> mais un message sur pas mal de package serveur. Point!
C'est ton probleme, c'est donc a toi de fournir les elements pas aux
autres de chercher, mais bon, c'est probablement trop complique a
comprendre pour un mec qui ne comprend deja pas que sa question de choix
de pop3d serait a sa place sur fr.comp.mail et pas ici.
Eric Masson
Arréte de jouer la vierge effarouchée toi et retourne à ta config de bsd
ta rien a faire ici pour envoyer chier les gens de la sorte. POINT!
Baltringue va!
Machin> C'est pas un message de mon serveur sinon je l'aurais donné, Machin> mais un message sur pas mal de package serveur. Point!
C'est ton probleme, c'est donc a toi de fournir les elements pas aux autres de chercher, mais bon, c'est probablement trop complique a comprendre pour un mec qui ne comprend deja pas que sa question de choix de pop3d serait a sa place sur fr.comp.mail et pas ici.
Eric Masson
Arréte de jouer la vierge effarouchée toi et retourne à ta config de bsd
ta rien a faire ici pour envoyer chier les gens de la sorte. POINT! Baltringue va!
TheFelin
On Mon, 23 Aug 2004 20:56:19 +0200, TheFelin wrote:
Exacte c'est ce genre de message, mais pourquoi pour apache2 par exemple il n'apparait pas?
Ce message vient de /usr/ports/Mk/bsd.port.mk, le Makefile général :
${ECHO_MSG} " If there are vulnerabilities in these programs there may be a security"; ${ECHO_MSG} " risk to the system. FreeBSD makes no guarantee about the security of"; ${ECHO_MSG} " ports included in the Ports Collection. Please type 'make deinstall'"; ${ECHO_MSG} " to deinstall the port if this is a concern.";
Si Apache2 a pas ce message (ce dont je doute ?) c'est qu'il ne remplit pas les conditions du test du PLIST ou que tu ne l'a pas installé via les ports.
K. Haaaaaaa voici quelqu'un d'intelligent, merci beaucoup parcque y a un
blaireau dans l'histoire qui essais encore de comprendre!
On Mon, 23 Aug 2004 20:56:19 +0200, TheFelin <TheFelin@neurozone.ath.cx> wrote:
Exacte c'est ce genre de message, mais pourquoi pour apache2 par exemple
il n'apparait pas?
Ce message vient de /usr/ports/Mk/bsd.port.mk, le Makefile général :
${ECHO_MSG} " If there are vulnerabilities in these programs there may be a security";
${ECHO_MSG} " risk to the system. FreeBSD makes no guarantee about the security of";
${ECHO_MSG} " ports included in the Ports Collection. Please type 'make deinstall'";
${ECHO_MSG} " to deinstall the port if this is a concern.";
Si Apache2 a pas ce message (ce dont je doute ?) c'est qu'il ne remplit
pas les conditions du test du PLIST ou que tu ne l'a pas installé via
les ports.
K.
Haaaaaaa voici quelqu'un d'intelligent, merci beaucoup parcque y a un
blaireau dans l'histoire qui essais encore de comprendre!
${ECHO_MSG} " If there are vulnerabilities in these programs there may be a security"; ${ECHO_MSG} " risk to the system. FreeBSD makes no guarantee about the security of"; ${ECHO_MSG} " ports included in the Ports Collection. Please type 'make deinstall'"; ${ECHO_MSG} " to deinstall the port if this is a concern.";
Si Apache2 a pas ce message (ce dont je doute ?) c'est qu'il ne remplit pas les conditions du test du PLIST ou que tu ne l'a pas installé via les ports.
K. Haaaaaaa voici quelqu'un d'intelligent, merci beaucoup parcque y a un
blaireau dans l'histoire qui essais encore de comprendre!
TheFelin
In article , Philippe Chevalier wrote:
Si c'est le message auquel je pense, c'est un message systématique de disclaimer chaque fois qu'un port installe un programme susceptible de servir de "serveur réseau" ou avec un suidbit.
Genre "attention, ce programme vient d'installer tel truc, qui peut servir a accéder a votre machine via le réseau et si ya des trous de sécurité dedans, c'est a vos risques et périls".
En bref, tu peux ignorer ce message : tu aura le meme quel que soit le package pop3 que tu installera. C'est juste un disclaimer.
Au début ca fait peur, mais après tu t'en fous :)
Ca fait toujours peur. Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles de dire si tel ou tel package est buggue ou pas.
Personne pour vraiment jeter un oeil au code, et essayer de s'assurer qu'il n'y a pas de trou dedans.
Histoire de bien laisser l'utilisateur choisir tout seul, qu'il se renseigne sur les mailing-lists par lui-meme, qu'il pose les bonnes questions, histoire de devenir 3l33t et de flamer les n3w813s.
Il y avait un autre OS comme ca dans le temps, au packaging merdique, sans aucune decision editoriale quant a l'inclusion de tel ou tel package et aux trous de securites afferents.
Ca s'appelait comment deja ?
Ah oui.
Linux. histoire de devenir 3l33t et de flamer les n3w813s ..
Exacte y en a déjà un au dessus de moi à qui j'ai répondu et celui là apparament c'est un gros...
In article <slrncikf7i.2aq9.news@dspnet.fr.eu.org>,
Philippe Chevalier <news@kyoko.org> wrote:
Si c'est le message auquel je pense, c'est un message systématique de
disclaimer chaque fois qu'un port installe un programme susceptible de
servir de "serveur réseau" ou avec un suidbit.
Genre "attention, ce programme vient d'installer tel truc, qui peut servir a
accéder a votre machine via le réseau et si ya des trous de sécurité
dedans, c'est a vos risques et périls".
En bref, tu peux ignorer ce message : tu aura le meme quel que soit le
package pop3 que tu installera. C'est juste un disclaimer.
Au début ca fait peur, mais après tu t'en fous :)
Ca fait toujours peur.
Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles
de dire si tel ou tel package est buggue ou pas.
Personne pour vraiment jeter un oeil au code, et essayer de s'assurer
qu'il n'y a pas de trou dedans.
Histoire de bien laisser l'utilisateur choisir tout seul, qu'il se
renseigne sur les mailing-lists par lui-meme, qu'il pose les bonnes
questions, histoire de devenir 3l33t et de flamer les n3w813s.
Il y avait un autre OS comme ca dans le temps, au packaging merdique,
sans aucune decision editoriale quant a l'inclusion de tel ou tel package
et aux trous de securites afferents.
Ca s'appelait comment deja ?
Ah oui.
Linux.
histoire de devenir 3l33t et de flamer les n3w813s ..
Exacte y en a déjà un au dessus de moi à qui j'ai répondu et celui là
apparament c'est un gros...
Si c'est le message auquel je pense, c'est un message systématique de disclaimer chaque fois qu'un port installe un programme susceptible de servir de "serveur réseau" ou avec un suidbit.
Genre "attention, ce programme vient d'installer tel truc, qui peut servir a accéder a votre machine via le réseau et si ya des trous de sécurité dedans, c'est a vos risques et périls".
En bref, tu peux ignorer ce message : tu aura le meme quel que soit le package pop3 que tu installera. C'est juste un disclaimer.
Au début ca fait peur, mais après tu t'en fous :)
Ca fait toujours peur. Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles de dire si tel ou tel package est buggue ou pas.
Personne pour vraiment jeter un oeil au code, et essayer de s'assurer qu'il n'y a pas de trou dedans.
Histoire de bien laisser l'utilisateur choisir tout seul, qu'il se renseigne sur les mailing-lists par lui-meme, qu'il pose les bonnes questions, histoire de devenir 3l33t et de flamer les n3w813s.
Il y avait un autre OS comme ca dans le temps, au packaging merdique, sans aucune decision editoriale quant a l'inclusion de tel ou tel package et aux trous de securites afferents.
Ca s'appelait comment deja ?
Ah oui.
Linux. histoire de devenir 3l33t et de flamer les n3w813s ..
Exacte y en a déjà un au dessus de moi à qui j'ai répondu et celui là apparament c'est un gros...
Arnaud Launay
Le Tue, 24 Aug 2004 19:09:33 +0200, TheFelin écrivit:
histoire de devenir 3l33t et de flamer les n3w813s ..
Mardi 24 août 2004 à 12:04 GMT, Marc Espie a écrit :
Ca fait toujours peur. Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles de dire si tel ou tel package est buggue ou pas.
C'est pas la même chose. Pour dire qu'un port / package a un problème de sécurité, on a portaudit (<http://people.freebsd.org/~eik/portaudit/>) et FORBIDDEN quand ça craint.
Le message en question, c'est juste pour dire que potentiellement on pourrait éventuellement soupçonner des possibilités d'éventuelles faiblesses à surveiller les jours de pluie. Bref, c'est assez américain, et c'est vrai que ça ne sert pas à grand'chose. -- Th. Thomas.
Mardi 24 août 2004 à 12:04 GMT, Marc Espie a écrit :
Ca fait toujours peur.
Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles
de dire si tel ou tel package est buggue ou pas.
C'est pas la même chose. Pour dire qu'un port / package a un problème de
sécurité, on a portaudit (<http://people.freebsd.org/~eik/portaudit/>)
et FORBIDDEN quand ça craint.
Le message en question, c'est juste pour dire que potentiellement on
pourrait éventuellement soupçonner des possibilités d'éventuelles
faiblesses à surveiller les jours de pluie. Bref, c'est assez américain,
et c'est vrai que ça ne sert pas à grand'chose.
--
Th. Thomas.
Mardi 24 août 2004 à 12:04 GMT, Marc Espie a écrit :
Ca fait toujours peur. Ca veut dire qu'il n'y a personne chez FreeBSD pour avoir les couilles de dire si tel ou tel package est buggue ou pas.
C'est pas la même chose. Pour dire qu'un port / package a un problème de sécurité, on a portaudit (<http://people.freebsd.org/~eik/portaudit/>) et FORBIDDEN quand ça craint.
Le message en question, c'est juste pour dire que potentiellement on pourrait éventuellement soupçonner des possibilités d'éventuelles faiblesses à surveiller les jours de pluie. Bref, c'est assez américain, et c'est vrai que ça ne sert pas à grand'chose. -- Th. Thomas.
