Simple boycott de IE

jh n'était pas loin de dire :

Bonjour,

De même.

Le problème de la sécurité pour un poste de travail cesse d'en être un
dans la mesure où l'on n'utilise plus Internet Explorer mais un autre
navigateur comme Firefox.

Voilà un résumé bien simpliste et réducteur de la réalité.

Je ne me suis donné qu'un principe: ne jamais ouvrir Internet Explorer
mais plutôt un navigateur concurrent comme Firefox.

Et, évidement, tu évites aussi d'utiliser la foultitude de programme
qui utilisent le moteur d'IE pour toi parce qu'ils utilisent, d'une
façon ou d'une autre, les API de Windows liées à l'affichage HTML.
N'est-ce pas ?

J'ai fait ce test avec Window 95, 98

Logique, il n'y a plus grand chose en circulation qui cible ces
versions de Windows.

aucun fichier nuisible n'a passé.

Tu es donc un petit veinard qui a réussi à passer loin des milliers de
vers et virus ciblant les failles de Windows et des logiciels que tu
utilises. Tant mieux pour toi, mais tu n'es pas le seul dans ce cas,
des centaines de personnes ont eu la même chance que toi. C'est
d'ailleurs là le grand défi de la sécurité informatique lorsqu'elle
doit s'appliquer au grand public ; arriver à expliquer à des personnes
qui n'ont rien eu pendant des mois, voire des années, que du jour au
lendemain ils pourraient tout aussi bien se retrouver avec un
collection de vers n'est pas chose facile.

Je crois que la programmation sans activeX de Firefox y est pour
quelquechose

Non non, c'est juste la chance. En n'utilisant pas IE, tu te protèges
contre les personnes qui auraient mis du code malicieux sur leurs pages
HTML, ce qui est extrèmement rare, mais en retirant ton firewall tu as
ouvert la porte à tous les vers qui viennent directement taper à ta
porte et qui, eux, n'en ont strictement rien à foutre que tu utilises
ou non IE, la seule chose qui les intéresse, c'est que tu utilises
Windows.

Cela dit, je me demande jusqu'à quel point ta chance n'est pas dû
uniquement à la façon dont videotron a conçu son modem. Le grand nombre
de problème relevé lors de l'utilisation d'un routeur derrière leur
modem multifonction laisserait à penser qu'il n'est pas aussi passif
que cela avec les trames qui le traverse.

Bonjour,

Le problème de la sécurité pour un poste de travail cesse d'en être un
dans la mesure où l'on n'utilise plus Internet Explorer mais un autre
navigateur comme Firefox.

Car FF est parfaitement exempte de la moindre faille, c'est bien connu.
Et linux aussi. En fait, tout ce qui n'est pas Microsoft est totalement
sûr. Microsoft est toxique, méchant et rend bête.

Juste un exemple parmi quelques... beaucoup :
http://www.securityfocus.com/bid/14242

On Wed, 21 Dec 2005 09:08:00 +0000, Olivier Masson wrote:

Le problème de la sécurité pour un poste de travail cesse d'en être un
dans la mesure où l'on n'utilise plus Internet Explorer mais un autre
navigateur comme Firefox.


Car FF est parfaitement exempte de la moindre faille, c'est bien connu.

Et linux aussi.

Je ne crois pas qu'on ait jamais vu un problème de sécurité connu sur
Firefox (ou Linux) traîner pendant des mois sans être corrigé.
Généralement le délai de réaction est de l'ordre de quelques jours.

Si j'écris "Firefox est exempt de la moindre faille connue", cela a de
fortes chances d'être vrai à l'instant où je l'écris, et de rester vrai
pendant, plus de 90% du temps... Et si on parle de faille connue
et exploitée, l'avantage de Firefox devient encore plus écrasant! Combien
de virus ou vers se sont propagés grâce à des vulnérabilités d'IE? Et
combien grâce à des vulnérabilités de FireFox? Et il n'y a pas que
FireFox comme alternative : voir Opera, Safari, Camino, Konqueror...

Ce n'est quand même pas pour rien si des spécialistes de la sécurité -
gens sérieux qui détestent prendre des positions polémiques - ont de plus
en plus tendance à déconseiller explicitement Internet Explorer!

En fait, tout ce qui n'est pas Microsoft est totalement sûr.

Il y a vraiment des idiots qui disent ça?

Microsoft est toxique, méchant et rend bête.

Ca, en revanche, ce n'est pas totalemnt faux...

Le Tue, 20 Dec 2005 21:15:16 +0000, jh a écrit :

Le problème de la sécurité pour un poste de travail cesse d'en être un
dans la mesure où l'on n'utilise plus Internet Explorer

Non.
Tu n'as visiblement aucune idée des problèmes de sécu d'un poste de
travail. Voir plus bas.

mais un autre
navigateur comme Firefox.

Aucun soft n'est à priori exempt de faille de sécu. FF y compris (voir
le post l'Olivier Masson). A titre _personnel_ je recommande aux gens qui
me demandent mon avis d'éviter OE+IE et tout navigateur/mua qui utilisent
IE comme renderer[1] mais cela ne les dispense pas de faire les mises à
jours de l'OS et des softs qui y tournent, ne pas lancer n'importe quoi,
utiliser un anti-virus au moins si on doit lancer quelques chose de
nouveau (pour l'examiner avant), désactiver les macros etc etc, j'en
passe et des meilleures.

Depuis plus d'un an, je fais l'expérience suivante qui consiste à ne
pas protéger mon poste de travail par firewall, anti-spy et antivirus.
Je ne me suis donné qu'un principe: ne jamais ouvrir Internet Explorer
mais plutôt un navigateur concurrent comme Firefox. J'ai fait ce test
avec Window 95, 98, ME et XP, et, au balayage anti-spy et antivirus
avec les logiciels de protection courants, la conclusion est toujours
la même: aucun fichier nuisible n'a passé.

J'ai l'impression que ton poste de travail est fort isolé. Dans pas mal
de boites il a des potes... sur le LAN. Et si une des machines du LAN est
corrompue c'est souvent le LAN entier qui va se faire bombarder.
Et la on retrouve les bons vieux gags, comme des partages complets à la
racine du système de fichier[2], les SQL machins qui écoutent (pas la
peine de patcher contrer sapphire sur un LAN si je suis ton
raisonnement...) et autres PnP activés.

Je crois que la programmation sans activeX de Firefox y est pour
quelquechose,

C'est dans l'autre sens, c'est l'utilisation des bidules
type active scripts et autres par défaut qui rende ce système, amha,
dangereux.

mais je suis déçu de cette exploitation inutile qui est
fait de la peur des gens. - jh

Moi ce qui me fait peur ce sont les gens qui annoncent sans savoir
"Installez FF et TB et dormez tranquille". C'est complètement
irresponsable, en plus d'être faux. Ca ne m'empêche pas de les
conseiller, mais essentiellement pour éviter le couple IE/OE et sans
oublier de préciser que ce n'est pas à l'épreuve des balles.

Et pas de sécu sur un poste, de toute façon, sans un minimum de
formation/sensibilisation de la personne qui l'utilise (simple
exemple : c'est noël, et comme à chaque fois je ferais bien le pari d'un
screen-saver installé à droite à gauche).


Donner une fausse impression de sécu, c'est "mal" :(


Eric

[1] de toute façon plein de softs utilisent les dlls correspondantes.

[2] c'est triste que ça existe encore mais c'est une simple constatation :(

Gilles Berger Sabbatel n'était pas loin de dire :

Car FF est parfaitement exempte de la moindre faille, c'est bien connu.
Et linux aussi.

Je ne crois pas qu'on ait jamais vu un problème de sécurité connu sur
Firefox (ou Linux) traîner pendant des mois sans être corrigé.

<http://secunia.com/product/4227/> Jettes donc un oeil en bas de la
page. Pour Linux, je te laisse le soin de chercher toi-même, mais le
résultat sera le même.
Croire que les failles sont patchées dans les jours qui suivent relève
du même mythe imbécile que celui qui fait clamer haut et fort à
certains que Linux est un système invulnérable. Si la grande majorité
des failles sont patchées rapidement, il n'en demeure pas moins que
certaines trainent pendant des mois, parce qu'elles sont considérées, à
tort ou à raison, comme sans aucune espèce d'importance par les
développeurs.
Pour prendre l'exemple de Firefox, il est vrai que la dernière faille
listée sur la page de Secunia ne permet que de faire du phishing,
qu'elle ne concerne que les versions pour MacOS X et qu'il faut passer
par Java pour pouvoir l'exploiter. Rien de bien grave en soit, sauf
pour le gus qui se sera fait vider son compte grâce à elle !

Combien de virus ou vers se sont propagés grâce à des vulnérabilités
d'IE?

Aucun. Ce ne sont pas les vulnérabilités d'IE qui sont en cause ici,
mais celle du "moteur HTML" (pour simplifier) intégré au coeur de
Windows. Par conséquent, se contenter de parler d'IE est ici une
absurdité, car ce n'est pas, de loin, la seule application a bénéficier
des failles en question. Tout comme d'ailleurs pour Firefox, dont la
majorité des failles sont en faite dû à Mozilla, et impacte donc les
autres applications utilisant ce "moteur HTML".
Au passage, bien qu'il ne soit pas dans mes habitudes de défendre
Microsoft, reconnaissons qu'il est plus simple de développer Mozilla,
"moteur HTML" se baladant tout seul, que de développer celui d'IE, qui
est partie intégrante du coeur même de Windows ; tout comme il est plus
simple de laisser trainer des failles dans ce dernier, tant il y a
d'interaction avec le reste du monde, et surtout le système.

Ce n'est quand même pas pour rien si des spécialistes de la sécurité -
gens sérieux qui détestent prendre des positions polémiques - ont de plus
en plus tendance à déconseiller explicitement Internet Explorer!

Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur
de Windows utilisent le moteur d'IE. Dans le genre "IE est partout", je
ne sais pas si c'est encore d'actualité pour XP, mais Win98 était
incapable d'afficher autre chose qu'une image BMP en fond d'écran. Si
l'on choisissait autre chose, une image JPEG par exemple, l'active
desktop était automatiquement activé et c'est le moteur d'IE qui
affichait l'image.

En fait, tout ce qui n'est pas Microsoft est totalement sûr.

Il y a vraiment des idiots qui disent ça?

Il y en a bien qui disent que toutes les failles de Linux sont
patchées dans les jours qui suivent...

Je le sens bien seul notre ami.

Apparemment beaucoup vivent de Mircrosoft et des multiples failles de
ses bébés et j'ai compris cette réalité economique nécessaire pour
beaucoup, je ne la blame pas.


Ce qui n'empêche pas dans le fond de pouvoir comparer mon utilisation
basique de Linux depuis 4 ans sans plus jamais utiliser Windows chez
moi à mon utilisation ultérieure de Dos 6.2 / Win 3.1 / Win 95 / WIn
98 / Win XP pro.

Depuis que je suis sous Linux, je n'ai pas croisé de virus bien
qu'étant encore plus souvent connecté qu'avant.
Je n'ai pas non plus rencontré de mail dangereux. Enfin, je les recois
toujours mais ils ne me rendent plus parano.
Je ne me suis pas non plus retrouvé planté au point de ne pas avoir
d'autre choix que de rebooter.
(La blague qui fait l'analogie avec la bagnole qui s'arrêterait
régulièrement sur la route et qu'il faudrait redemarrer à chaque
fois est pas mal...)

Je croise encore des personnes qui n'installent pas automatiquement de
firewall et antivirus sous Windows et je me dis qu'ils feraient mieux
de passer sous Mandriva en install standard avec Firewall intégré.
Ils seraient moins dangereux pour eux et les autres internautes.


Voilà, comme je sentais le poster un peut seul et que je suis un
utilisateur de Linux heureux... :o)

Le Wed, 21 Dec 2005 10:59:19 +0000, Manou a écrit :

Gilles Berger Sabbatel n'était pas loin de dire :

Combien de virus ou vers se sont propagés grâce à des vulnérabilités
d'IE?

Aucun. Ce ne sont pas les vulnérabilités d'IE qui sont en cause ici,
mais celle du "moteur HTML" (pour simplifier) intégré au coeur de
Windows.

Certes, mais ce "moteur HTML" étant utilisé par IE, et la "zone de
sécu" ayant eu l'efficacité qu'on connait IE était bien un vecteur
d'entrée (il me semble que quelques dialers se sont installé via IE
d'ailleurs)

Par conséquent, se contenter de parler d'IE est ici une
absurdité, car ce n'est pas, de loin, la seule application a bénéficier
des failles en question.

Oui, et?
A ma connaissance quand un logiciel de compta (exemple qui n'a même pas
à être basé sur la réalité) affiche une page html sortie de la compta
on peut s'attendre à moins de risque (quoique!) d'exploitation de faille
venant de cette page générée et rendu via le "moteur" que lors d'un
"surf sans filet" de l'utilisateur. [1]

Tout comme d'ailleurs pour Firefox, dont la
majorité des failles sont en faite dû à Mozilla, et impacte donc les
autres applications utilisant ce "moteur HTML".

Yep.

Ce n'est quand même pas pour rien si des spécialistes de la sécurité -
gens sérieux qui détestent prendre des positions polémiques - ont de plus
en plus tendance à déconseiller explicitement Internet Explorer!

Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur
de Windows utilisent le moteur d'IE. Dans le genre "IE est partout", je
ne sais pas si c'est encore d'actualité pour XP, mais Win98 était
incapable d'afficher autre chose qu'une image BMP en fond d'écran. Si
l'on choisissait autre chose, une image JPEG par exemple, l'active
desktop était automatiquement activé et c'est le moteur d'IE qui
affichait l'image.

Ce qui est "mal" ;)
Cf au dessus : le contenu potentiellement offensif est essentiellement
amené de l'extérieur, généralement via la web (je ne parle pas d'une
attaque ciblée). Et les deux principaux vecteurs chez Mme Michu comme
chez les petites boites sont email et web (msn fait une perçée
remarquable aussi :( ).

Dire "on vire IE+OE et on est tranquille" est faux et dangereux.
Dire "Autant que faire ce peut évitez IE+OE" me semble, tout bien
considéré plutôt juste.

Il y a vraiment des idiots qui disent ça?

Il y en a bien qui disent que toutes les failles de Linux sont
patchées dans les jours qui suivent...

Tu as des intégristes des deux côtés. Il est une faille (dont je ne me
souviens plus le détail) qui était demeurée beaucoup trop longtemps
dans le kernel histoire de se contenter de sortir la release quivante qui
était "presque" terminée :(

Eric.

[1] Qu'on ne me fasse pas dire qu'il n'y a *aucun* risque, ce n'est pas
mon propos.

On 21 Dec 2005 15:48:35 GMT, "Open59" <open59@yahoo.fr>:

Je ne me suis pas non plus retrouvé planté au point de ne pas avoir
d'autre choix que de rebooter.

Sous Windows 2000, il m'arrive effectivement d'être dans ce cas.
Quasiment à chaque fois, c'est dû à un problème matériel : RAM
foireuse, disque dur en rade, ou surchauffe du processeur.

Je croise encore des personnes qui n'installent pas automatiquement de
firewall et antivirus sous Windows et je me dis qu'ils feraient mieux
de passer sous Mandriva en install standard avec Firewall intégré.

C'est un peu exagéré. Se contenter de la protection du NAT d'un
modem-routeur ADSL, si ça ne suffit pas dans l'absolu, c'est déjà pas
mal -- du moins quand on a un lecteur de mails sans MSHTML et qu'on
n'exécute pas n'importe quoi.

Je le sens bien seul notre ami.

Apparemment beaucoup vivent de Mircrosoft et des multiples failles de
ses bébés et j'ai compris cette réalité economique nécessaire pour
beaucoup, je ne la blame pas.

[couic]
Voilà, comme je sentais le poster un peut seul et que je suis un
utilisateur de Linux heureux... :o)

Ce n'était pas du tout le but de mes (nos ?) propos.

Je ne suis pas fan de MS, loin de là mais je ne suis pas abruti/aveugle
comme les linuxiens primaires qui vomissent sur des OS qu'ils ne
connaissent pas *et ne savent pas configurer* (cf W2K3, très bon
produit, bien plus sûr que le pauvre linux sous root du geek du base et
que bcp de distrib en install de base !).

J'ai un PC sous slackware qui fonctionne très bien et que j'utilise pour
certaines fonctions précises (souvent lié au réseau, à la sécurité).

Mais croire que FF, parce qu'open source, est un miracle, c'est se
foutre le poing dans l'oeil. Mais je l'utilise car je le trouve plus
performant (pas en terme de vitesse - très facile de faire un bench de
toutes les fonctions et IE gagne la plupart du temps - mais de
fonctionnalités et respect des normes).

Ce n'est pas si simple, meme si linux ou firefox ont de nombreuses faille
(d'un coté, vu la compléxité des codes, c'est normal), on peut dire
qu'il y a une tres bonne réactivité a la correction des bugs... Ce qui
est un gros plus.

Le Wed, 21 Dec 2005 09:08:00 +0000, Olivier Masson a écrit :

Bonjour,

Le problème de la sécurité pour un poste de travail cesse d'en être un
dans la mesure où l'on n'utilise plus Internet Explorer mais un autre
navigateur comme Firefox.

Car FF est parfaitement exempte de la moindre faille, c'est bien connu.
Et linux aussi. En fait, tout ce qui n'est pas Microsoft est totalement
sûr. Microsoft est toxique, méchant et rend bête.

Juste un exemple parmi quelques... beaucoup :
http://www.securityfocus.com/bid/14242

--
La culture nous apparaît d'abord comme la connaissance de ce qui a fait de l'homme autre chose qu'un accident de l'univers. -+- André Malraux (1901-1976) -+-