Olivier Masson wrote:Mais croire que FF, parce qu'open source, est un miracle, c'est se
foutre le poing dans l'oeil.
Firefox sous Linux/Unix a au moins l'avantage de la séparation des
privilèges : une faille de FF ne peut que corrompre immédiatement les
fichiers de l'utilisateur qui exécute FF (on pourra pour plus tard
installer un exploit quand cet utilisateur passera root, mais ça complique
un peu l'attaque)
Dans le cas d'IE, les choix d'architecture dans Windows font qu'IE est un
vecteur permettant de modifier en temps réel le code système (DLL par
exemple).
Cette seule différence fait de Windows un marché juteux pour les antivirus
et autres firewalls [1]. Ce marché est tellement juteux et les problèmes de
Windows sont tellement profonds qu'on n'imagine même pas de solution hors
la fuite.
Olivier Masson wrote:
Mais croire que FF, parce qu'open source, est un miracle, c'est se
foutre le poing dans l'oeil.
Firefox sous Linux/Unix a au moins l'avantage de la séparation des
privilèges : une faille de FF ne peut que corrompre immédiatement les
fichiers de l'utilisateur qui exécute FF (on pourra pour plus tard
installer un exploit quand cet utilisateur passera root, mais ça complique
un peu l'attaque)
Dans le cas d'IE, les choix d'architecture dans Windows font qu'IE est un
vecteur permettant de modifier en temps réel le code système (DLL par
exemple).
Cette seule différence fait de Windows un marché juteux pour les antivirus
et autres firewalls [1]. Ce marché est tellement juteux et les problèmes de
Windows sont tellement profonds qu'on n'imagine même pas de solution hors
la fuite.
Olivier Masson wrote:Mais croire que FF, parce qu'open source, est un miracle, c'est se
foutre le poing dans l'oeil.
Firefox sous Linux/Unix a au moins l'avantage de la séparation des
privilèges : une faille de FF ne peut que corrompre immédiatement les
fichiers de l'utilisateur qui exécute FF (on pourra pour plus tard
installer un exploit quand cet utilisateur passera root, mais ça complique
un peu l'attaque)
Dans le cas d'IE, les choix d'architecture dans Windows font qu'IE est un
vecteur permettant de modifier en temps réel le code système (DLL par
exemple).
Cette seule différence fait de Windows un marché juteux pour les antivirus
et autres firewalls [1]. Ce marché est tellement juteux et les problèmes de
Windows sont tellement profonds qu'on n'imagine même pas de solution hors
la fuite.
Voilà, comme je sentais le poster un peut seul et que je suis un
utilisateur de Linux heureux... :o)
Voilà, comme je sentais le poster un peut seul et que je suis un
utilisateur de Linux heureux... :o)
Voilà, comme je sentais le poster un peut seul et que je suis un
utilisateur de Linux heureux... :o)
Gilles Berger Sabbatel n'était pas loin de dire :
<http://secunia.com/product/4227/> Jettes donc un oeil en bas de la
page. Pour Linux, je te laisse le soin de chercher toi-même, mais le
résultat sera le même.
Si la grande majorité des failles
sont patchées rapidement, il n'en demeure pas moins que certaines trainent
pendant des mois, parce qu'elles sont considérées, à tort ou à raison,
comme sans aucune espèce d'importance par les développeurs.
Combien de virus ou vers se sont propagés grâce à des vulnérabilités
d'IE?
Aucun. Ce ne sont pas les vulnérabilités d'IE qui sont en cause ici,
mais celle du "moteur HTML" (pour simplifier) intégré au coeur de Windows.
Par conséquent, se contenter de parler d'IE est ici une absurdité, car ce
n'est pas, de loin, la seule application a bénéficier des failles en
question.
Tout comme d'ailleurs pour Firefox, dont la majorité des failles
sont en faite dû à Mozilla, et impacte donc les autres applications
utilisant ce "moteur HTML".
Au passage, bien qu'il ne soit pas dans mes habitudes de défendre
Microsoft, reconnaissons qu'il est plus simple de développer Mozilla,
"moteur HTML" se baladant tout seul, que de développer celui d'IE, qui est
partie intégrante du coeur même de Windows ; tout comme il est plus simple
de laisser trainer des failles dans ce dernier, tant il y a d'interaction
avec le reste du monde, et surtout le système.
Ce n'est quand même pas pour rien si des spécialistes de la sécurité -
gens sérieux qui détestent prendre des positions polémiques - ont de
plus en plus tendance à déconseiller explicitement Internet Explorer!
Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur de
Windows utilisent le moteur d'IE.
Gilles Berger Sabbatel n'était pas loin de dire :
<http://secunia.com/product/4227/> Jettes donc un oeil en bas de la
page. Pour Linux, je te laisse le soin de chercher toi-même, mais le
résultat sera le même.
Si la grande majorité des failles
sont patchées rapidement, il n'en demeure pas moins que certaines trainent
pendant des mois, parce qu'elles sont considérées, à tort ou à raison,
comme sans aucune espèce d'importance par les développeurs.
Combien de virus ou vers se sont propagés grâce à des vulnérabilités
d'IE?
Aucun. Ce ne sont pas les vulnérabilités d'IE qui sont en cause ici,
mais celle du "moteur HTML" (pour simplifier) intégré au coeur de Windows.
Par conséquent, se contenter de parler d'IE est ici une absurdité, car ce
n'est pas, de loin, la seule application a bénéficier des failles en
question.
Tout comme d'ailleurs pour Firefox, dont la majorité des failles
sont en faite dû à Mozilla, et impacte donc les autres applications
utilisant ce "moteur HTML".
Au passage, bien qu'il ne soit pas dans mes habitudes de défendre
Microsoft, reconnaissons qu'il est plus simple de développer Mozilla,
"moteur HTML" se baladant tout seul, que de développer celui d'IE, qui est
partie intégrante du coeur même de Windows ; tout comme il est plus simple
de laisser trainer des failles dans ce dernier, tant il y a d'interaction
avec le reste du monde, et surtout le système.
Ce n'est quand même pas pour rien si des spécialistes de la sécurité -
gens sérieux qui détestent prendre des positions polémiques - ont de
plus en plus tendance à déconseiller explicitement Internet Explorer!
Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur de
Windows utilisent le moteur d'IE.
Gilles Berger Sabbatel n'était pas loin de dire :
<http://secunia.com/product/4227/> Jettes donc un oeil en bas de la
page. Pour Linux, je te laisse le soin de chercher toi-même, mais le
résultat sera le même.
Si la grande majorité des failles
sont patchées rapidement, il n'en demeure pas moins que certaines trainent
pendant des mois, parce qu'elles sont considérées, à tort ou à raison,
comme sans aucune espèce d'importance par les développeurs.
Combien de virus ou vers se sont propagés grâce à des vulnérabilités
d'IE?
Aucun. Ce ne sont pas les vulnérabilités d'IE qui sont en cause ici,
mais celle du "moteur HTML" (pour simplifier) intégré au coeur de Windows.
Par conséquent, se contenter de parler d'IE est ici une absurdité, car ce
n'est pas, de loin, la seule application a bénéficier des failles en
question.
Tout comme d'ailleurs pour Firefox, dont la majorité des failles
sont en faite dû à Mozilla, et impacte donc les autres applications
utilisant ce "moteur HTML".
Au passage, bien qu'il ne soit pas dans mes habitudes de défendre
Microsoft, reconnaissons qu'il est plus simple de développer Mozilla,
"moteur HTML" se baladant tout seul, que de développer celui d'IE, qui est
partie intégrante du coeur même de Windows ; tout comme il est plus simple
de laisser trainer des failles dans ce dernier, tant il y a d'interaction
avec le reste du monde, et surtout le système.
Ce n'est quand même pas pour rien si des spécialistes de la sécurité -
gens sérieux qui détestent prendre des positions polémiques - ont de
plus en plus tendance à déconseiller explicitement Internet Explorer!
Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur de
Windows utilisent le moteur d'IE.
Eric Razny n'était pas loin de dire :J'ai du relire ce post deux fois pour être sur que je n'avais pas
rêvé! Ca ne te viens pas à l'idée que si j'ai une backdoor sur ta
machine il ne me coute rien d'installer un keylogger en prime?
Tu aurais sans doute dû le relire une troisième fois, puisque j'avais
pris soin de limiter la comparaison à une backdoor de type proxy[1], ne
permettant donc que de rentrer dans la pile IP, si je puis dire, sans
pour autant pouvoir rentrer dans le système.
Et une backdoor avec une superbe attaque par rebond dans le vpn de la
boite ce n'est que chiant?
Comparé à un compte à découvert, dix mille euros de dettes et le fait
que tous les prélèvements automatiques que tu peux avoir soient
annulés ? Oui, ce n'est que chiant... Du moins si tu n'es ni le patron
de la boîte ni son admin sécu ou réseau, ce qui est le cas pour 99% des
gens.
On a clairement une conception de la sécu différente
Ou vois-tu que je parle d'une quelconque conception de la sécurité ?
Le problème soulevé dans cette discussion, ce n'est pas la sécurité en
elle-même, mais de savoir si c'est plus sûr parce que c'est OpenSource
ou Libre. Ce qui n'est pas le cas puisque, là aussi des failles
considérées comme "sans intérêt" peuvent ne pas être patchées.
Accessoirement pour ne pas être victime de phishing[1] il suffit de
tapper directement l'url dans le navigateur. Quand j'ai un lien
"interressant" dans un email je ne clique pas dessus : je copie le lien,
le colle dans le browser et le vérifie avant de valider. P'tain c'est
compliqué ça!
Pour l'utilisateur lambda ? Oui, évidement que c'est compliqué à faire.
Ca sert à quoi d'avoir des liens cliquables si c'est pour devoir faire
un copier-coller ?
[1]
Je vais encore faire hurler Cédric, mais tant pis.
Eric Razny n'était pas loin de dire :
J'ai du relire ce post deux fois pour être sur que je n'avais pas
rêvé! Ca ne te viens pas à l'idée que si j'ai une backdoor sur ta
machine il ne me coute rien d'installer un keylogger en prime?
Tu aurais sans doute dû le relire une troisième fois, puisque j'avais
pris soin de limiter la comparaison à une backdoor de type proxy[1], ne
permettant donc que de rentrer dans la pile IP, si je puis dire, sans
pour autant pouvoir rentrer dans le système.
Et une backdoor avec une superbe attaque par rebond dans le vpn de la
boite ce n'est que chiant?
Comparé à un compte à découvert, dix mille euros de dettes et le fait
que tous les prélèvements automatiques que tu peux avoir soient
annulés ? Oui, ce n'est que chiant... Du moins si tu n'es ni le patron
de la boîte ni son admin sécu ou réseau, ce qui est le cas pour 99% des
gens.
On a clairement une conception de la sécu différente
Ou vois-tu que je parle d'une quelconque conception de la sécurité ?
Le problème soulevé dans cette discussion, ce n'est pas la sécurité en
elle-même, mais de savoir si c'est plus sûr parce que c'est OpenSource
ou Libre. Ce qui n'est pas le cas puisque, là aussi des failles
considérées comme "sans intérêt" peuvent ne pas être patchées.
Accessoirement pour ne pas être victime de phishing[1] il suffit de
tapper directement l'url dans le navigateur. Quand j'ai un lien
"interressant" dans un email je ne clique pas dessus : je copie le lien,
le colle dans le browser et le vérifie avant de valider. P'tain c'est
compliqué ça!
Pour l'utilisateur lambda ? Oui, évidement que c'est compliqué à faire.
Ca sert à quoi d'avoir des liens cliquables si c'est pour devoir faire
un copier-coller ?
[1]
Je vais encore faire hurler Cédric, mais tant pis.
Eric Razny n'était pas loin de dire :J'ai du relire ce post deux fois pour être sur que je n'avais pas
rêvé! Ca ne te viens pas à l'idée que si j'ai une backdoor sur ta
machine il ne me coute rien d'installer un keylogger en prime?
Tu aurais sans doute dû le relire une troisième fois, puisque j'avais
pris soin de limiter la comparaison à une backdoor de type proxy[1], ne
permettant donc que de rentrer dans la pile IP, si je puis dire, sans
pour autant pouvoir rentrer dans le système.
Et une backdoor avec une superbe attaque par rebond dans le vpn de la
boite ce n'est que chiant?
Comparé à un compte à découvert, dix mille euros de dettes et le fait
que tous les prélèvements automatiques que tu peux avoir soient
annulés ? Oui, ce n'est que chiant... Du moins si tu n'es ni le patron
de la boîte ni son admin sécu ou réseau, ce qui est le cas pour 99% des
gens.
On a clairement une conception de la sécu différente
Ou vois-tu que je parle d'une quelconque conception de la sécurité ?
Le problème soulevé dans cette discussion, ce n'est pas la sécurité en
elle-même, mais de savoir si c'est plus sûr parce que c'est OpenSource
ou Libre. Ce qui n'est pas le cas puisque, là aussi des failles
considérées comme "sans intérêt" peuvent ne pas être patchées.
Accessoirement pour ne pas être victime de phishing[1] il suffit de
tapper directement l'url dans le navigateur. Quand j'ai un lien
"interressant" dans un email je ne clique pas dessus : je copie le lien,
le colle dans le browser et le vérifie avant de valider. P'tain c'est
compliqué ça!
Pour l'utilisateur lambda ? Oui, évidement que c'est compliqué à faire.
Ca sert à quoi d'avoir des liens cliquables si c'est pour devoir faire
un copier-coller ?
[1]
Je vais encore faire hurler Cédric, mais tant pis.
Je ne sais pas quel est le virus spécifique à Linux qui empêche
l'utilisation d'imprimantes hyper classiques (Epson photo et Canon
laser), mais tant que ce "trou de sécurité" (... financière, pas envie
de bazarder mes imprimantes pour acheter une très chère PostScript
puisque Linux semble inféodé à Adobe) n'est pas résolu, je ne risque
pas de l'utiliser.
Il serait peut-être plus réaliste de prendre le problème dans le
toute la France connais Beauvais Tilles c'est pas un exploit surtout depuis
que c'est passe sur M6
C'est un argument, ça...
Il doit y avoir un panneau "vu à la télé" à l'entrée du village.
Je ne sais pas quel est le virus spécifique à Linux qui empêche
l'utilisation d'imprimantes hyper classiques (Epson photo et Canon
laser), mais tant que ce "trou de sécurité" (... financière, pas envie
de bazarder mes imprimantes pour acheter une très chère PostScript
puisque Linux semble inféodé à Adobe) n'est pas résolu, je ne risque
pas de l'utiliser.
Il serait peut-être plus réaliste de prendre le problème dans le
toute la France connais Beauvais Tilles c'est pas un exploit surtout depuis
que c'est passe sur M6
C'est un argument, ça...
Il doit y avoir un panneau "vu à la télé" à l'entrée du village.
Je ne sais pas quel est le virus spécifique à Linux qui empêche
l'utilisation d'imprimantes hyper classiques (Epson photo et Canon
laser), mais tant que ce "trou de sécurité" (... financière, pas envie
de bazarder mes imprimantes pour acheter une très chère PostScript
puisque Linux semble inféodé à Adobe) n'est pas résolu, je ne risque
pas de l'utiliser.
Il serait peut-être plus réaliste de prendre le problème dans le
toute la France connais Beauvais Tilles c'est pas un exploit surtout depuis
que c'est passe sur M6
C'est un argument, ça...
Il doit y avoir un panneau "vu à la télé" à l'entrée du village.
Il y a vraiment des idiots qui disent ça?
Microsoft est toxique, méchant et rend bête.
Ca, en revanche, ce n'est pas totalemnt faux...
Il y a vraiment des idiots qui disent ça?
Microsoft est toxique, méchant et rend bête.
Ca, en revanche, ce n'est pas totalemnt faux...
Il y a vraiment des idiots qui disent ça?
Microsoft est toxique, méchant et rend bête.
Ca, en revanche, ce n'est pas totalemnt faux...
Je te cite :
"Se retrouver avec un backdoor permettant à tout un chacun d'utiliser
notre ordinateur comme rebond est chiant".
Je crois bien volontier que tu parlais de proxy mais "backdoor" n'est
pas proxy.
Ton post se lisait donc comme une simple sous-exploitation d'une
backdoor :-)
Accessoirement même un "simple proxy" permet à priori de profiter du
vpn, ce qui amha est plus grave que le phising.
D'un côté tu as *une* personne, qui certes est en difficulté, de
l'autre côté le piratage peut mettre, directement ou indirectement
(marché perdu parce que la concurrence a accès à des infos qu'elle ne
devrait pas avoir) en péril une structure comprenant bien plus de
personnes...
[...] Alors les "le gentil Michu qui se fait phisher c'est
gravissime, contrairement on patron qui se retrouve avec une boite en
péril" ça me parait largement déplacé.
Je te cite :
"Se retrouver avec un backdoor permettant à tout un chacun d'utiliser
notre ordinateur comme rebond est chiant".
Je crois bien volontier que tu parlais de proxy mais "backdoor" n'est
pas proxy.
Ton post se lisait donc comme une simple sous-exploitation d'une
backdoor :-)
Accessoirement même un "simple proxy" permet à priori de profiter du
vpn, ce qui amha est plus grave que le phising.
D'un côté tu as *une* personne, qui certes est en difficulté, de
l'autre côté le piratage peut mettre, directement ou indirectement
(marché perdu parce que la concurrence a accès à des infos qu'elle ne
devrait pas avoir) en péril une structure comprenant bien plus de
personnes...
[...] Alors les "le gentil Michu qui se fait phisher c'est
gravissime, contrairement on patron qui se retrouve avec une boite en
péril" ça me parait largement déplacé.
Je te cite :
"Se retrouver avec un backdoor permettant à tout un chacun d'utiliser
notre ordinateur comme rebond est chiant".
Je crois bien volontier que tu parlais de proxy mais "backdoor" n'est
pas proxy.
Ton post se lisait donc comme une simple sous-exploitation d'une
backdoor :-)
Accessoirement même un "simple proxy" permet à priori de profiter du
vpn, ce qui amha est plus grave que le phising.
D'un côté tu as *une* personne, qui certes est en difficulté, de
l'autre côté le piratage peut mettre, directement ou indirectement
(marché perdu parce que la concurrence a accès à des infos qu'elle ne
devrait pas avoir) en péril une structure comprenant bien plus de
personnes...
[...] Alors les "le gentil Michu qui se fait phisher c'est
gravissime, contrairement on patron qui se retrouve avec une boite en
péril" ça me parait largement déplacé.
En effet, deux "failles" classées peu critiques, dont une relative au
plugin Java, d'ailleurs!
Comme la vulnérabilité mineure d'IE mentionnée ci-dessus, alors?
En même temps, il est surprenant de voir des trous de sécurité refaire
surface régulièrement dans un produit vieillot, qui n'a plus évolué depuis
des années! Alors que Firefox reste un produit vivant, dont l'évolution
ne se limite pas à la correction des trous de sécurité.
On pourrait parler aussi des bugs de rendu d'IE, que les concepteurs de
sites Web passent leur temps à contourner, mais que MicroSOft n'a jamais
daigné corriger...
Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur de
Windows utilisent le moteur d'IE.
Ce qui ne pose à priori aucun problème tant qu'on reste au niveau local.
En effet, deux "failles" classées peu critiques, dont une relative au
plugin Java, d'ailleurs!
Comme la vulnérabilité mineure d'IE mentionnée ci-dessus, alors?
En même temps, il est surprenant de voir des trous de sécurité refaire
surface régulièrement dans un produit vieillot, qui n'a plus évolué depuis
des années! Alors que Firefox reste un produit vivant, dont l'évolution
ne se limite pas à la correction des trous de sécurité.
On pourrait parler aussi des bugs de rendu d'IE, que les concepteurs de
sites Web passent leur temps à contourner, mais que MicroSOft n'a jamais
daigné corriger...
Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur de
Windows utilisent le moteur d'IE.
Ce qui ne pose à priori aucun problème tant qu'on reste au niveau local.
En effet, deux "failles" classées peu critiques, dont une relative au
plugin Java, d'ailleurs!
Comme la vulnérabilité mineure d'IE mentionnée ci-dessus, alors?
En même temps, il est surprenant de voir des trous de sécurité refaire
surface régulièrement dans un produit vieillot, qui n'a plus évolué depuis
des années! Alors que Firefox reste un produit vivant, dont l'évolution
ne se limite pas à la correction des trous de sécurité.
On pourrait parler aussi des bugs de rendu d'IE, que les concepteurs de
sites Web passent leur temps à contourner, mais que MicroSOft n'a jamais
daigné corriger...
Ce qui en soit est une aberration. Tous les gentils utilisateurs
lambda bavant devant l'affichage "comme un page web" de l'explorateur de
Windows utilisent le moteur d'IE.
Ce qui ne pose à priori aucun problème tant qu'on reste au niveau local.
un kit-pignouf adaware (bien moins bon que
Microsoft antispyware)
un kit-pignouf adaware (bien moins bon que
Microsoft antispyware)
un kit-pignouf adaware (bien moins bon que
Microsoft antispyware)
Tu peux mettre une backdoor dans un OS pour
pouvoir te loguer sur n'importe quelle machine avec tous les droits,
tout en gardant les problèmes de sécurité à l'esprit et en limitant
donc la portée de cette backdoor à la seule console.
Tu peux mettre une backdoor dans un OS pour
pouvoir te loguer sur n'importe quelle machine avec tous les droits,
tout en gardant les problèmes de sécurité à l'esprit et en limitant
donc la portée de cette backdoor à la seule console.
Tu peux mettre une backdoor dans un OS pour
pouvoir te loguer sur n'importe quelle machine avec tous les droits,
tout en gardant les problèmes de sécurité à l'esprit et en limitant
donc la portée de cette backdoor à la seule console.
