Tester si un programme est ouvert ?

Le 14 septembre 2006 à 13:48, Méta-MCI a dit :

L'expérience, qui visait à montrer qu'une bonne configuration d'un
O.S. et d'un comportement réfléchis des utilisateurs suffisait, a duré
huit mois, sans que rien de néfaste ne soit détecté. De nombreux scans
ont été réalisés à la fin (*), sans rien trouver.

Cela montre que, quelque soit l'O.S, la sécurité est avant tout une
question d'utilisateur, et que la paranoïa ambiante est plus néfaste
qu'utile.

Je ne peux pas te suivre. Même sans _rien_ faire le système tout neuf a
sombré en moins de 2 minutes.

Il venait d'être installé, vierge. Je n'avais pas le patch anti blaster
/ sasser sous la main ni d'antivirus et j'ai naïvement cru pouvoir aller
en utilisateur averti les télécharger sans faire de bêtises dans
l'intervalle. Ben non, je n'ai pas eu le temps. J'ai bien réussi à
retarder l'horloge pour éviter le redémarrage et finir de charger les
outils manquants mais le mal était déjà fait. Un ver écrit avec les
pieds qui surinfectait le système en boucle a parachevé l'oeuvre. Et ça
s'est terminé par une n-ième installation.

Bon, maintenant je sais qu'un Windows XP SP1 tout neuf (et tout nu) en
première ligne sur une connexion internet rapide sans antivirus ni
rustines ou parefeu a une espérance de vie inférieure à celle d'un
piéton sur autoroute.

Ce n'est pas de la paranoïa, c'est une expérience vécue en direct.

--
Sébastien Kirche

Le 14 septembre 2006 à 13:48, Méta-MCI a formulé :

Pour la petite histoire, l'année dernière (où il y avait beaucoup plus
de failles déclarées, pour tout), j'ai installé un micro, relié à
Internet, avec I.E. et O.E., sans anti-virus, sans antispywares, et
avec le parefeux de windows désactivé.

Derrière le pare-feu de l'entreprise ? Quelle version de Windows ?
Avais-tu mis la rustine pour la faille RPC ?

Parce qu'avec XP j'ai pu constater que sans pare-feu ni rustine (patch)
il est impossible de rester en ligne plus de quelques minutes : même
sans rien faire du moment qu'elle est en ligne la machine finit par être
contactée par une autre - vérolée au sasser ou blaster - qui va la faire
redémarrer grâce à la faille de sécurité du service RPC. Aucune action
de l'utilisateur n'est nécessaire. C'est une catastrophe. :/

--
Sébastien Kirche

On 14-09-2006, Méta-MCI wrote:

Re !


Tu veux dire que I.E. ouvre ta cible dans le même fenêtre, comme si c'était
un _self au lieu d'un _blank ?

Non, il ouvre une nouvelle fenêtre mais elle reste désespérement vide,
le sablier tourne et tourne sans fin.

Je crois qu'il y a des paramètres, pour gérer ça. Et je crois que ces
paramètres peuvent dépendre comment est classé le site (confiance, sensible,
intranet, etc.)

C'est de l'intranet, avec toutes les barrières au plus bas sinon
enlevées.

--
William Dodé - http://flibuste.net

Méta-MCI wrote:

Bonjour !

nul part n'a été enoncé que le web, c'était...
Désolé, mais il faut évoluer. Si on en était resté au HTML 1.0, ce ne serait

pas terrible.
Les versions plus récentes de HTML sont quand même beaucoup plus util isables
et confortables pour les internautes. Les CSS sont un progrès indénia ble.

oui, vous avez raison il faut évoluer. allons-y, on est vendredi.

IE6 n'a pas évolué depuis sa sortie à part le rebouchage de quelques
trous de sécurité.

Essayez donc XHTML strict dessus, avec des technos modernes comme CSS2.


Ah il est beau le progrès quand position: fixed ne marche pas, que les
png ne s'affichent pas avec leur transparence (alors que tout est dispo
pour l'implémenter !).

DirectX te gène ? Alors, il n'y a qu'à implémenter OpenGL.

mais qu'est-ce que ça vient faire là dedans OpenGL ? Et qui va
implémenter OpenGL pour IE ?

Flash te gène ? Il existe SMIL, normalisé par la W3C (mais seul I.E. sait
le gérer)

Flash, les trucs qui clignotent, les logos qui tournent ... Avec ce qui
se fait en marketo-buzz-techno comme http://script.aculo.us/ , on peut
en faire autant tout en étant bien moins intrusif pour l'utilisateur.

Pour moi, le web, ce n'est pas seulement voir des "pages" 'mot qui ne
correspond pas à grand chose). C'est aussi un instrument permettant de
travailler, échanger, communiquer.

Le web, c'est HTTP. Relisez les définitions à ce sujet :
http://fr.wikipedia.org/wiki/HTTP. Effectivement, ce ne sont pas que
des pages hypertextes, cela peut être aussi des requêtes xml-rpc,
soap ... mais c'est un usage rare en considération de l'utilisation
actuelle du protocole.

Je vous garantie qu'on peut travailler, échanger, communiquer avec des
pages valides et portables.

Si si, une page, ça correspond à quelque chose : c'est ce que
contient la fenêtre de votre navigateur !

je plussoie : par exemple, ActiveX est un nid à faille de sécurit é, de
l'aveu de Microsoft lui-même.
Je m'inscris en faux. C'est vrai, il y a eu, dans le passé, des failles,

essentiellement dues à l'utilisation d'ActiveX comme moyen d'installer des
plugins dans I.E.

Mais, ces failles sont corrigées depuis longtemps.

Qu'est-ce qui vous prouve qu'il n'en reste aucune ? Le joli sourire de
Billou ?

Actuellement un ActiveX
ne s'installe que si l'utilisateur le veut bien. Exactement comme les
plugins des autres navigateurs.
Maintenant, si un utilisateur accepte qu'un logiciel mal intentionné
s'installe, il est (au moins en partie) fautif. Et ce, quelque soit le
navigateur.

Certes. Mais quand on a les sources des dites extensions, et à
fortiori du navigateur, on peut savoir ce qui se passe dedans et avoir
l'avis d'une communauté quand à sa sécurité.

Les extensions à code source fermés comme activeX sont bien trop
dangeureuses, n'importe quel admin consciencieux le sait parfaitement
et désactive ce support sur tous les postes.

Les fonctionnalités citées, enfin celles non dépendantes du sys tème
d'exploitation, sont disponibles dans mozilla et consorts.

Même SMIL ? Même le pilotage du navigateur depuis Python ?

SMIL "arrive" : http://www.xulfr.org/wiki/SMIL.. Mais pour le moment,
cette techno est encore anecdotique. cf mon propos sur ce qui brille au
dessus. et SVG dans IE ?

Le pilotage en python ? Il en a été question. Mais pour faire quoi au
final ? Si c'est charger un document, il n'y a qu'à lancer une
commande, ou utiliser le composant Gecko embarquable (par exemple dans
epyphany). Pour le reste, il y a le langage natif que vous connaissez
forcément puisque c'est javascript.

Faudrait quand même pas poser IE en sauveur du web quand même

Absolument pas. I.E. a de gros progrès à faire. Ce n'est ni le naviga teur
idéal, ni celui que j'utilise le plus, ni celui qui me plaît le plus.

Mais, par moment, il est difficilement contournable.

Non, il est à absolument éviter de par son architecture et son
imbrication dans le système. D'ailleurs dans Vista, MS promet qu'IE7
tournera dans un environnement plus sécurisé moins lié au système
(ok, ils disent ça à chaque fois, faut bien remplir l'écran
d'install).

2.0 ; 30% de mon code javascript est dédié à la compatibilité avec
Môssieur IE qui n'est pas conforme aux recommandations.

Perso, 15 % de mon code javascript est dû aux problèmes rencontrés avec FF.

Est-ce dû à des écarts quand aux recommandations du w3c ?

A noter que je teste d'abord avec Opera, puis avec les I.E. et compatibles
(enigma, maxthon,...), et enfin avec FF et compatibles (Kameleon, Flockr).
Occasionnellement je regarde avec Amaya ; mais ça accroche, puis Jxscri pt
n'est pas dans les normes du w3c

On est d'accord, il faut prendre ce qui marche raisonnablement. Notre
seul différence de point de vue vient de la qualification du
navigateur : pour moi c'est une application comme une autre, un client
*léger*, un néo-terminal, et non une télécommande à système
d'exploitation troué qui sort l'artillerie justifier le prix de la
machine et de l'os.

En pratique, c'est I.E. qui respecte le plus la norme ECMA, suivi de
(vraiment) très près par Opera.

Ah je n'ai jamais dit qu'ils sont mauvais partout. Juste pour
l'essentiel.

http://www-128.ibm.com/developerworks/web/library/wa-ie2mozgd/

Bon vendredi

--
François

Bonjour !

Essayez donc XHTML strict dessus, avec des technos modernes comme CSS2.

Pas de problème pour moi. Je fais ça toutes les semaines (CSS2). Pour le
xHtml, j'ai de plus en plus de doutes sur son avenir. Le w3c a un peu trop
oublié l'existant, et la rupture devient trop profonde, à chaque nouvelle
version.

Flash, les trucs qui clignotent, les logos qui tournent ... Avec ce qui
se fait en marketo-buzz-techno...

Personne ne vous oblige à pouvoir les lire. Mais, rien ne vous donne le
droit d'interdire aux autres de les lire.
Dans IE, on peut très facilement activer/désactiver tout ça. Ainsi, chacun
est libre de son choix, et ce n'est pas figé.

Le web, c'est HTTP

Erreur. Le web UTILISE le protocole http, mais le web, CE N'EST PAS http.

Qu'est-ce qui vous prouve qu'il n'en reste aucune ?

Rien. Mais c'est un raisonnement à l'envers. Rien ne prouve non plus que
linux, windows, mac-OS, FF, etc. ne contiennent pas de failles.

Mais quand on a les sources des dites extensions, et à fortiori du
navigateur, on peut savoir ce qui se passe dedans et avoir
l'avis d'une communauté quand à sa sécurité.

L'open-source, c'est un autre débat. Un logiciel peut être bon, ou mauvais,
qu'il soit ou non open-source (du point de vue sécurité). certains
professent l'idée qu'il est plus facile de réaliser une attaque, si l'on a
accès aux sources du logiciel.
Quand à l'avis d'une communauté, il est, par nature, conservateur. Pour
faire avancer les choses, pour le progrès, il faut forcément trouver des
idées non communes.

Les extensions à code source fermés comme activeX sont bien trop
dangeureuses

C'est une opinion. Tout le monde n'est pas de cet avis. Il y a des millions
de personnes qui sont de cet avis, et des millions de personnes qui pensent
autrement.
Et rejeter des logiciels parce que le code-source est fermé serait
dangereux, du point de vue sécurité. Exemple : presque tous les antivirus
ont un code-source fermé. Mais, s'ils n'étaient plus utilisés, ce serait
catastrophique...

n'importe quel admin consciencieux le sait parfaitement et désactive ce
support sur tous les postes.

C'est complètement faux. Un bon administrateur cherche d'abord à ce que
l'informatique des utilisateurs fonctionne, avant de penser à bloquer toute
utilisation. Faire verrouiller des fonctions utiles sur des postes, au nom
d'un "supposé" risque, c'est une forme d'attaque (c'est une forme d'attaque
par ingénierie sociale).
C'est un peu le même système que le virus belge ("je ne sais pas le
programmer ce virus, alors formatez votre disque vous-même"). En
paraphrasant : "Bien qu'il y ait la possibilité que votre informatique
courre un risque, il y a de fortes chances qu'il n'y ait pas de problèmes ;
alors, bloquez la fonction vous-même". Ou encore "votre informatique
risque, peut-être, d'être bloquée, alors, autant la bloquer vous-même, tout
de suite".

SMIL "arrive" Mais pour le moment, cette techno est encore anecdotique

"arrive" ? Enfin ! Le standard date du siècle (du millénaire) précédent.
Quand on voit que c'est supporté depuis très longtemps par I.E., on se
demande pourquoi les autres navigateurs n'ont pas fais cet effort avant.
Mais, il reste le problème de la rupture, dans la standardisation de la
version 2, qui est (partiellement) incompatible avec la version 1.

Pour le "anecdotique", effectivement, pour ceux qui ne peuvent (veulent ?)
pas lire les données en SMIL, ça reste forcément anecdotique. A qui la faute
?
Et, pour l'anecdote (tant qu'on y est), je signale un usage, qui va vous
faire bondir : dans le domaine de l'e-mail-art, il y a de nombreuses
personnes qui utilisent SMIL pour faire de magnifiques messages.
Effectivement, ce n'est pas utile. Mais, l'art doit-il être utile ? (Et
aussi, on y utilise beaucoup de DirectAnimation, malgré la soit-disant
faille trouvée récemment).

utiliser le composant Gecko embarquable

Ou le MSHTML, qui est au moins équivalent (xul en moins, xaml en plus). Et,
un composant embarquable, c'est le début de l'intégration.

le langage natif ... javascript.

javascript n'est pas un langage natif d'aucun navigateur (sauf, peut-être,
dans Flex, dans la version ActionScript)

dans Vista, MS promet qu'IE7 tournera dans un environnement plus
sécurisé moins lié au système

MS n'a jamais promis ça. Perso, j'évalue IE-7 depuis quelques temps, et me
réjouie de voir la compatibilité ascendante : le HTA fonctionnent toujours
aussi bien, l'utilisation comme GUI pour Python aussi, c'est toujours rapide
(plus rapide que beaucoup de navigateurs, hormis Enigma, K-meleon, et Opera
dans certains cas), etc. Tout ça me rassure.

pour moi (le navigateur) c'est une application comme une autre, un
client *léger*, un néo-terminal, et non une télécommande à système

Vous êtes donc contre l'utilisation de Xul, comme GUI local, des composants
gecko embarqués, de l'utilisation du HTML en dehors d'Internet, etc.
Libre à vous de procéder ainsi.
Libre aux autres de vouloir autre chose.
Liberté, pour tout de monde, de choisir sa démarche.

bon vendredi

bon dimanche



Michel Claveau