Là je ne suis pas du tout d'accord avec toi. L'avantage des protocoles
multiples est de permettre une identification plus facile des
corruptions de données. Si HTTP et FTP étaient sur le même protocole,
il faudrait d'abord faire une analyse du contenu avant de pouvoir le
filtrer. Par exemple, on peut configurer un proxy HTTP pour qu'il
supprime tout ce qui ressemble à "<script.*>.*</script>", mais cela n'a
aucun sens pour un proxy FTP. Il faudrait donc commencer par déterminer
que c'est du HTTP, puis ensuite filtrer ou non, suivant le cas.
Cela rajouterait un niveau de controle supplémentaire, autrement dit
un niveau de failles supplémentaire.
Là je ne suis pas du tout d'accord avec toi. L'avantage des protocoles
multiples est de permettre une identification plus facile des
corruptions de données. Si HTTP et FTP étaient sur le même protocole,
il faudrait d'abord faire une analyse du contenu avant de pouvoir le
filtrer. Par exemple, on peut configurer un proxy HTTP pour qu'il
supprime tout ce qui ressemble à "<script.*>.*</script>", mais cela n'a
aucun sens pour un proxy FTP. Il faudrait donc commencer par déterminer
que c'est du HTTP, puis ensuite filtrer ou non, suivant le cas.
Cela rajouterait un niveau de controle supplémentaire, autrement dit
un niveau de failles supplémentaire.
Là je ne suis pas du tout d'accord avec toi. L'avantage des protocoles
multiples est de permettre une identification plus facile des
corruptions de données. Si HTTP et FTP étaient sur le même protocole,
il faudrait d'abord faire une analyse du contenu avant de pouvoir le
filtrer. Par exemple, on peut configurer un proxy HTTP pour qu'il
supprime tout ce qui ressemble à "<script.*>.*</script>", mais cela n'a
aucun sens pour un proxy FTP. Il faudrait donc commencer par déterminer
que c'est du HTTP, puis ensuite filtrer ou non, suivant le cas.
Cela rajouterait un niveau de controle supplémentaire, autrement dit
un niveau de failles supplémentaire.
ah pardon.
Ben de ce point de vue la windows XP fait toujours des sauts puisqu'il
synchronise l'horloge toutes les 604800 sec soit 7 jours par defaut :-)
Bien entendu il ecoute quand meme en permanence sur le 123 pour chaque
interface reseau, meme virtuelle, de la machine...
Euh... Pas forcément ! :-) C'est un peu ce qui est en train de se passer
actuellement, HTTP étant utilisé pour encapsuler à peu près tout et
n'importe quoi. Ca ne simplifie pas forcément les choses...
disons qu'il faudrait alors analyser ce qui passe par lui, mais ca en fait
quand meme moins que quand il faut analyser tout ce qui passe par tous les
protocoles.
Imaginons que Linux devienne LE SE le plus utilise au monde, que se
passerait il ? Tunnelling et cryptage a gogo et explosion de l'ingenierie
sociale.
Je suis pret a prendre le pari ;-)
Ah ben oui évidemment, si vous avez un firewall qui est configurable à
distance par SNMP (ou dont la config est récupérable par ce biais)...
n'est ce pas le cas d'un certain nombre de boite de securite exterieures ?
par snmp ou autre, le principe est le meme : le vers se fait passer pour
l'autorite administrative.
Non, je me suis peut-être mal exprimé: le port 25 est bloqué en sortie,
sauf vers le serveur SMTP officiel de Orange. Le port587 n'est pas encore
bloqué, mais il est très rare de voir des serveurs SMTP avec ce port
accessible, dans la mesure où il est plutôt destiné à la soumission
directe de mails par les clients, et non à la transmission inter-serveurs.
Google, laposte, ifrance... pour ceux que je connais.
D'ailleurs Google fait bien avec son SSL, pourquoi donc nos FAI de france
n'en font ils pas aurtant ?
Je crois que le theme de la "securité" est un jolie cheval de troie en lui
meme dont le contenu a d'autres finalités et cela depasse allegrement nos
ordinateurs famillliaux ;-)
Bon sur ce, bon dimanche et fermez le port en sortant ;-)
ah pardon.
Ben de ce point de vue la windows XP fait toujours des sauts puisqu'il
synchronise l'horloge toutes les 604800 sec soit 7 jours par defaut :-)
Bien entendu il ecoute quand meme en permanence sur le 123 pour chaque
interface reseau, meme virtuelle, de la machine...
Euh... Pas forcément ! :-) C'est un peu ce qui est en train de se passer
actuellement, HTTP étant utilisé pour encapsuler à peu près tout et
n'importe quoi. Ca ne simplifie pas forcément les choses...
disons qu'il faudrait alors analyser ce qui passe par lui, mais ca en fait
quand meme moins que quand il faut analyser tout ce qui passe par tous les
protocoles.
Imaginons que Linux devienne LE SE le plus utilise au monde, que se
passerait il ? Tunnelling et cryptage a gogo et explosion de l'ingenierie
sociale.
Je suis pret a prendre le pari ;-)
Ah ben oui évidemment, si vous avez un firewall qui est configurable à
distance par SNMP (ou dont la config est récupérable par ce biais)...
n'est ce pas le cas d'un certain nombre de boite de securite exterieures ?
par snmp ou autre, le principe est le meme : le vers se fait passer pour
l'autorite administrative.
Non, je me suis peut-être mal exprimé: le port 25 est bloqué en sortie,
sauf vers le serveur SMTP officiel de Orange. Le port587 n'est pas encore
bloqué, mais il est très rare de voir des serveurs SMTP avec ce port
accessible, dans la mesure où il est plutôt destiné à la soumission
directe de mails par les clients, et non à la transmission inter-serveurs.
Google, laposte, ifrance... pour ceux que je connais.
D'ailleurs Google fait bien avec son SSL, pourquoi donc nos FAI de france
n'en font ils pas aurtant ?
Je crois que le theme de la "securité" est un jolie cheval de troie en lui
meme dont le contenu a d'autres finalités et cela depasse allegrement nos
ordinateurs famillliaux ;-)
Bon sur ce, bon dimanche et fermez le port en sortant ;-)
ah pardon.
Ben de ce point de vue la windows XP fait toujours des sauts puisqu'il
synchronise l'horloge toutes les 604800 sec soit 7 jours par defaut :-)
Bien entendu il ecoute quand meme en permanence sur le 123 pour chaque
interface reseau, meme virtuelle, de la machine...
Euh... Pas forcément ! :-) C'est un peu ce qui est en train de se passer
actuellement, HTTP étant utilisé pour encapsuler à peu près tout et
n'importe quoi. Ca ne simplifie pas forcément les choses...
disons qu'il faudrait alors analyser ce qui passe par lui, mais ca en fait
quand meme moins que quand il faut analyser tout ce qui passe par tous les
protocoles.
Imaginons que Linux devienne LE SE le plus utilise au monde, que se
passerait il ? Tunnelling et cryptage a gogo et explosion de l'ingenierie
sociale.
Je suis pret a prendre le pari ;-)
Ah ben oui évidemment, si vous avez un firewall qui est configurable à
distance par SNMP (ou dont la config est récupérable par ce biais)...
n'est ce pas le cas d'un certain nombre de boite de securite exterieures ?
par snmp ou autre, le principe est le meme : le vers se fait passer pour
l'autorite administrative.
Non, je me suis peut-être mal exprimé: le port 25 est bloqué en sortie,
sauf vers le serveur SMTP officiel de Orange. Le port587 n'est pas encore
bloqué, mais il est très rare de voir des serveurs SMTP avec ce port
accessible, dans la mesure où il est plutôt destiné à la soumission
directe de mails par les clients, et non à la transmission inter-serveurs.
Google, laposte, ifrance... pour ceux que je connais.
D'ailleurs Google fait bien avec son SSL, pourquoi donc nos FAI de france
n'en font ils pas aurtant ?
Je crois que le theme de la "securité" est un jolie cheval de troie en lui
meme dont le contenu a d'autres finalités et cela depasse allegrement nos
ordinateurs famillliaux ;-)
Bon sur ce, bon dimanche et fermez le port en sortant ;-)
Pour l'ingénierie sociale, c'est déjà le cas de toute façon. Le maillon
faible étant l'humain, c'est par là que beaucoup d'attaques passent
actuellement. Je n'ai en revanche pas bien compris pour quelle raison vous
dites que le tunnelling et le cryptage subiraient un essor plus grand avec
Linux qu'avec autre chose...
Un firewall digne de ce nom ne permet pas aussi facilement que cela
l'usurpation d'identité d'un admin, normalement. Idéalement il faut une
intervention physique, un test de Türing ou quelque chose du genre. Mais
je ne dis pas pour autant que ce type d'usurpation est impossible...
Ces serveurs sont effectivement ouverts pour leurs clients, mais
uniquement après authentification. Ils ne peuvent donc pas servir si
facilement que cela de relais se spam ou de virus. On peut bien entendu
admettre que la saleté qui a infecté le PC sait s'authentifier, si
l'utilisateur a enregistré le mot de passe dans son client de mail pour
éviter d'avoir à le rentrer à chaque fois.
Le SSL n'apporte pas grand-chose à l'affaire ici... Ou alors je n'ai pas
compris ce que vous vouliez dire.
Désolé, je ne vous ai pas compris, là non plus. ;-)
Pour l'ingénierie sociale, c'est déjà le cas de toute façon. Le maillon
faible étant l'humain, c'est par là que beaucoup d'attaques passent
actuellement. Je n'ai en revanche pas bien compris pour quelle raison vous
dites que le tunnelling et le cryptage subiraient un essor plus grand avec
Linux qu'avec autre chose...
Un firewall digne de ce nom ne permet pas aussi facilement que cela
l'usurpation d'identité d'un admin, normalement. Idéalement il faut une
intervention physique, un test de Türing ou quelque chose du genre. Mais
je ne dis pas pour autant que ce type d'usurpation est impossible...
Ces serveurs sont effectivement ouverts pour leurs clients, mais
uniquement après authentification. Ils ne peuvent donc pas servir si
facilement que cela de relais se spam ou de virus. On peut bien entendu
admettre que la saleté qui a infecté le PC sait s'authentifier, si
l'utilisateur a enregistré le mot de passe dans son client de mail pour
éviter d'avoir à le rentrer à chaque fois.
Le SSL n'apporte pas grand-chose à l'affaire ici... Ou alors je n'ai pas
compris ce que vous vouliez dire.
Désolé, je ne vous ai pas compris, là non plus. ;-)
Pour l'ingénierie sociale, c'est déjà le cas de toute façon. Le maillon
faible étant l'humain, c'est par là que beaucoup d'attaques passent
actuellement. Je n'ai en revanche pas bien compris pour quelle raison vous
dites que le tunnelling et le cryptage subiraient un essor plus grand avec
Linux qu'avec autre chose...
Un firewall digne de ce nom ne permet pas aussi facilement que cela
l'usurpation d'identité d'un admin, normalement. Idéalement il faut une
intervention physique, un test de Türing ou quelque chose du genre. Mais
je ne dis pas pour autant que ce type d'usurpation est impossible...
Ces serveurs sont effectivement ouverts pour leurs clients, mais
uniquement après authentification. Ils ne peuvent donc pas servir si
facilement que cela de relais se spam ou de virus. On peut bien entendu
admettre que la saleté qui a infecté le PC sait s'authentifier, si
l'utilisateur a enregistré le mot de passe dans son client de mail pour
éviter d'avoir à le rentrer à chaque fois.
Le SSL n'apporte pas grand-chose à l'affaire ici... Ou alors je n'ai pas
compris ce que vous vouliez dire.
Désolé, je ne vous ai pas compris, là non plus. ;-)
"Bruno Tréguier" a écrit dans
le message de news: ho637u$hpc$Pour l'ingénierie sociale, c'est déjà le cas de toute façon. Le maillon
faible étant l'humain, c'est par là que beaucoup d'attaques passent
actuellement. Je n'ai en revanche pas bien compris pour quelle raison vous
dites que le tunnelling et le cryptage subiraient un essor plus grand avec
Linux qu'avec autre chose...
L'ingenierie peut encore croitre a mon avis, ca pourrait (pourra ?) etre
pire.
Car l'insecurite s'accompagne d'un message securitaire. Plus l'un croît plus
l'autre augmente.
On parlerait alors beaucoup plus de toutes les solutions qui permettent de
dissimuler, pardon, de proteger, les echanges. Depuis 3-4 ans, on a le cas
avec le SSL par exemple.
Moi ce que j'ai vu c'est une authentification simple : un ID + 1 passphrase
. Si le vers est a l'interieur du PC qui pilote la boite, il a tout loisir
de trouver ou de chercher cette info.
Ces serveurs sont effectivement ouverts pour leurs clients, mais
uniquement après authentification. Ils ne peuvent donc pas servir si
facilement que cela de relais se spam ou de virus. On peut bien entendu
admettre que la saleté qui a infecté le PC sait s'authentifier, si
l'utilisateur a enregistré le mot de passe dans son client de mail pour
éviter d'avoir à le rentrer à chaque fois.
c'est absolument ce qui se passe. Vous lmeme, tapez vous votre mot de passe
de messagerie toutes les 10 minutes pour relever vos mails ? ;-)
Désolé, je ne vous ai pas compris, là non plus. ;-)
moi non plus je ne me comprends pas toujours :-))
"Bruno Tréguier" <bruno.treguier_at_shom.fr@nullepart.invalid> a écrit dans
le message de news: ho637u$hpc$1@typhon.shom.fr...
Pour l'ingénierie sociale, c'est déjà le cas de toute façon. Le maillon
faible étant l'humain, c'est par là que beaucoup d'attaques passent
actuellement. Je n'ai en revanche pas bien compris pour quelle raison vous
dites que le tunnelling et le cryptage subiraient un essor plus grand avec
Linux qu'avec autre chose...
L'ingenierie peut encore croitre a mon avis, ca pourrait (pourra ?) etre
pire.
Car l'insecurite s'accompagne d'un message securitaire. Plus l'un croît plus
l'autre augmente.
On parlerait alors beaucoup plus de toutes les solutions qui permettent de
dissimuler, pardon, de proteger, les echanges. Depuis 3-4 ans, on a le cas
avec le SSL par exemple.
Moi ce que j'ai vu c'est une authentification simple : un ID + 1 passphrase
. Si le vers est a l'interieur du PC qui pilote la boite, il a tout loisir
de trouver ou de chercher cette info.
Ces serveurs sont effectivement ouverts pour leurs clients, mais
uniquement après authentification. Ils ne peuvent donc pas servir si
facilement que cela de relais se spam ou de virus. On peut bien entendu
admettre que la saleté qui a infecté le PC sait s'authentifier, si
l'utilisateur a enregistré le mot de passe dans son client de mail pour
éviter d'avoir à le rentrer à chaque fois.
c'est absolument ce qui se passe. Vous lmeme, tapez vous votre mot de passe
de messagerie toutes les 10 minutes pour relever vos mails ? ;-)
Désolé, je ne vous ai pas compris, là non plus. ;-)
moi non plus je ne me comprends pas toujours :-))
"Bruno Tréguier" a écrit dans
le message de news: ho637u$hpc$Pour l'ingénierie sociale, c'est déjà le cas de toute façon. Le maillon
faible étant l'humain, c'est par là que beaucoup d'attaques passent
actuellement. Je n'ai en revanche pas bien compris pour quelle raison vous
dites que le tunnelling et le cryptage subiraient un essor plus grand avec
Linux qu'avec autre chose...
L'ingenierie peut encore croitre a mon avis, ca pourrait (pourra ?) etre
pire.
Car l'insecurite s'accompagne d'un message securitaire. Plus l'un croît plus
l'autre augmente.
On parlerait alors beaucoup plus de toutes les solutions qui permettent de
dissimuler, pardon, de proteger, les echanges. Depuis 3-4 ans, on a le cas
avec le SSL par exemple.
Moi ce que j'ai vu c'est une authentification simple : un ID + 1 passphrase
. Si le vers est a l'interieur du PC qui pilote la boite, il a tout loisir
de trouver ou de chercher cette info.
Ces serveurs sont effectivement ouverts pour leurs clients, mais
uniquement après authentification. Ils ne peuvent donc pas servir si
facilement que cela de relais se spam ou de virus. On peut bien entendu
admettre que la saleté qui a infecté le PC sait s'authentifier, si
l'utilisateur a enregistré le mot de passe dans son client de mail pour
éviter d'avoir à le rentrer à chaque fois.
c'est absolument ce qui se passe. Vous lmeme, tapez vous votre mot de passe
de messagerie toutes les 10 minutes pour relever vos mails ? ;-)
Désolé, je ne vous ai pas compris, là non plus. ;-)
moi non plus je ne me comprends pas toujours :-))
Et vous faites le parallèle avec Linux, donc, sur le mode "Linux est
réputé plus sûr que Windows, donc il va devenir plus insécure de
l'utiliser" ? ;-)
Ca se discute, mais si cela s'avère, en fin de compte, ce ne sera pas la
faute de Linux, mais de ceux qui l'auront "vendu" pour ce qu'il n'est
pas (à savoir un système infaillible).
[Authentification auprès du firewall]Moi ce que j'ai vu c'est une authentification simple : un ID + 1 passphrase
. Si le vers est a l'interieur du PC qui pilote la boite, il a tout loisir
de trouver ou de chercher cette info.
Dans un tel cas, oui. A chacun de choisir les modalités d'accès qu'il
juge raisonnables. On ne fait pas le bonheur des gens malgré eux, donc
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
c'est absolument ce qui se passe. Vous lmeme, tapez vous votre mot de passe
de messagerie toutes les 10 minutes pour relever vos mails ? ;-)
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
Et vous faites le parallèle avec Linux, donc, sur le mode "Linux est
réputé plus sûr que Windows, donc il va devenir plus insécure de
l'utiliser" ? ;-)
Ca se discute, mais si cela s'avère, en fin de compte, ce ne sera pas la
faute de Linux, mais de ceux qui l'auront "vendu" pour ce qu'il n'est
pas (à savoir un système infaillible).
[Authentification auprès du firewall]
Moi ce que j'ai vu c'est une authentification simple : un ID + 1 passphrase
. Si le vers est a l'interieur du PC qui pilote la boite, il a tout loisir
de trouver ou de chercher cette info.
Dans un tel cas, oui. A chacun de choisir les modalités d'accès qu'il
juge raisonnables. On ne fait pas le bonheur des gens malgré eux, donc
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
c'est absolument ce qui se passe. Vous lmeme, tapez vous votre mot de passe
de messagerie toutes les 10 minutes pour relever vos mails ? ;-)
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
Et vous faites le parallèle avec Linux, donc, sur le mode "Linux est
réputé plus sûr que Windows, donc il va devenir plus insécure de
l'utiliser" ? ;-)
Ca se discute, mais si cela s'avère, en fin de compte, ce ne sera pas la
faute de Linux, mais de ceux qui l'auront "vendu" pour ce qu'il n'est
pas (à savoir un système infaillible).
[Authentification auprès du firewall]Moi ce que j'ai vu c'est une authentification simple : un ID + 1 passphrase
. Si le vers est a l'interieur du PC qui pilote la boite, il a tout loisir
de trouver ou de chercher cette info.
Dans un tel cas, oui. A chacun de choisir les modalités d'accès qu'il
juge raisonnables. On ne fait pas le bonheur des gens malgré eux, donc
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
c'est absolument ce qui se passe. Vous lmeme, tapez vous votre mot de passe
de messagerie toutes les 10 minutes pour relever vos mails ? ;-)
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
De toute façon la (relative) démocratisation de Linux démontre que les
problèmes de sécurité de Windows ne sont pas tous du fait de Microsoft.
Plus le public que l'on vise est large, plus on est obligé de tendre
vers le minimum en matière de restrictions par défaut et de
configuration. Linux est et restera robuste et configurable en
profondeur, mais l'utilisateur final qui n'aura pas une bonne
connaissance du système l'utilisera avec des restrictions minimales et
ne configurera que ce qui sera présenté par les quelques interfaces de
la section "configuration interactive".
Il en serait de même pour un OS grand public qui se baserait sur
OpenBSD, c'est la simplification qui tend à devenir la plus grande
source de portes d'entrée.
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
Ce n'est pas que la responsabilité des admins, leurs employeurs ont
leur part là dedans. Pour une grosse entreprise ça passerait, mais dans
la plus part des cas l'admin d'une PME/PMI qui demanderait une machine
suplémentaire pour s'en servir de poste indépendant servant à
l'administration des services critiques essuyera un refus. Au final il
est obligé de faire cela à partir de son poste de travail, ce qui
augmente forcément les risques. Sans parler du patron qui exige d'avoir
un accès lui aussi ; accès dont il ne se servira jamais parce qu'il n'y
comprend rien, mais qu'il juge nécessaire parce que c'est *lui* qui
commande.
Fonctionnalité qui est mal présentée à mon sens. Madame Michu ne
l'utilise pas parce qu'elle n'a rien à cacher à son mari et que ses
enfants ont (miracle) leur propre session sur le Windows familiale. Du
coup, dans son esprit il ne sert à rien de protéger les mots de passe
car personne n'y a accès.
De toute façon la (relative) démocratisation de Linux démontre que les
problèmes de sécurité de Windows ne sont pas tous du fait de Microsoft.
Plus le public que l'on vise est large, plus on est obligé de tendre
vers le minimum en matière de restrictions par défaut et de
configuration. Linux est et restera robuste et configurable en
profondeur, mais l'utilisateur final qui n'aura pas une bonne
connaissance du système l'utilisera avec des restrictions minimales et
ne configurera que ce qui sera présenté par les quelques interfaces de
la section "configuration interactive".
Il en serait de même pour un OS grand public qui se baserait sur
OpenBSD, c'est la simplification qui tend à devenir la plus grande
source de portes d'entrée.
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
Ce n'est pas que la responsabilité des admins, leurs employeurs ont
leur part là dedans. Pour une grosse entreprise ça passerait, mais dans
la plus part des cas l'admin d'une PME/PMI qui demanderait une machine
suplémentaire pour s'en servir de poste indépendant servant à
l'administration des services critiques essuyera un refus. Au final il
est obligé de faire cela à partir de son poste de travail, ce qui
augmente forcément les risques. Sans parler du patron qui exige d'avoir
un accès lui aussi ; accès dont il ne se servira jamais parce qu'il n'y
comprend rien, mais qu'il juge nécessaire parce que c'est *lui* qui
commande.
Fonctionnalité qui est mal présentée à mon sens. Madame Michu ne
l'utilise pas parce qu'elle n'a rien à cacher à son mari et que ses
enfants ont (miracle) leur propre session sur le Windows familiale. Du
coup, dans son esprit il ne sert à rien de protéger les mots de passe
car personne n'y a accès.
De toute façon la (relative) démocratisation de Linux démontre que les
problèmes de sécurité de Windows ne sont pas tous du fait de Microsoft.
Plus le public que l'on vise est large, plus on est obligé de tendre
vers le minimum en matière de restrictions par défaut et de
configuration. Linux est et restera robuste et configurable en
profondeur, mais l'utilisateur final qui n'aura pas une bonne
connaissance du système l'utilisera avec des restrictions minimales et
ne configurera que ce qui sera présenté par les quelques interfaces de
la section "configuration interactive".
Il en serait de même pour un OS grand public qui se baserait sur
OpenBSD, c'est la simplification qui tend à devenir la plus grande
source de portes d'entrée.
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
Ce n'est pas que la responsabilité des admins, leurs employeurs ont
leur part là dedans. Pour une grosse entreprise ça passerait, mais dans
la plus part des cas l'admin d'une PME/PMI qui demanderait une machine
suplémentaire pour s'en servir de poste indépendant servant à
l'administration des services critiques essuyera un refus. Au final il
est obligé de faire cela à partir de son poste de travail, ce qui
augmente forcément les risques. Sans parler du patron qui exige d'avoir
un accès lui aussi ; accès dont il ne se servira jamais parce qu'il n'y
comprend rien, mais qu'il juge nécessaire parce que c'est *lui* qui
commande.
Fonctionnalité qui est mal présentée à mon sens. Madame Michu ne
l'utilise pas parce qu'elle n'a rien à cacher à son mari et que ses
enfants ont (miracle) leur propre session sur le Windows familiale. Du
coup, dans son esprit il ne sert à rien de protéger les mots de passe
car personne n'y a accès.
Et vous faites le parallèle avec Linux, donc, sur le mode "Linux est
réputé plus sûr que Windows, donc il va devenir plus insécure de
l'utiliser" ? ;-)
Ca se discute, mais si cela s'avère, en fin de compte, ce ne sera pas la
faute de Linux, mais de ceux qui l'auront "vendu" pour ce qu'il n'est pas
(à savoir un système infaillible).
Dans un tel cas, oui. A chacun de choisir les modalités d'accès qu'il juge
raisonnables. On ne fait pas le bonheur des gens malgré eux, donc si des
admins ont décidé de permettre un accès à leur firewall depuis une machine
potentiellement vulnérable, c'est leur problème...
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
Et puis, je suis sous Linux, aussi. :-D :-D
Et vous faites le parallèle avec Linux, donc, sur le mode "Linux est
réputé plus sûr que Windows, donc il va devenir plus insécure de
l'utiliser" ? ;-)
Ca se discute, mais si cela s'avère, en fin de compte, ce ne sera pas la
faute de Linux, mais de ceux qui l'auront "vendu" pour ce qu'il n'est pas
(à savoir un système infaillible).
Dans un tel cas, oui. A chacun de choisir les modalités d'accès qu'il juge
raisonnables. On ne fait pas le bonheur des gens malgré eux, donc si des
admins ont décidé de permettre un accès à leur firewall depuis une machine
potentiellement vulnérable, c'est leur problème...
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
Et puis, je suis sous Linux, aussi. :-D :-D
Et vous faites le parallèle avec Linux, donc, sur le mode "Linux est
réputé plus sûr que Windows, donc il va devenir plus insécure de
l'utiliser" ? ;-)
Ca se discute, mais si cela s'avère, en fin de compte, ce ne sera pas la
faute de Linux, mais de ceux qui l'auront "vendu" pour ce qu'il n'est pas
(à savoir un système infaillible).
Dans un tel cas, oui. A chacun de choisir les modalités d'accès qu'il juge
raisonnables. On ne fait pas le bonheur des gens malgré eux, donc si des
admins ont décidé de permettre un accès à leur firewall depuis une machine
potentiellement vulnérable, c'est leur problème...
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
Et puis, je suis sous Linux, aussi. :-D :-D
meme "s'ils" le vendent pour un systeme "plus sur que Windows", ou meme, si
"windows est moins sur" ca ne change pas grand chose a l'affaire.
La potentielle insécurite d'un systeme Linux tient moins dans son kernel que
dans ses applicatifs devellopes par on ne sait qui, on ne sait comment et en
quantite astronomique, sans guere de controle finalement que celui d'une
"communauté qui forcement le verra car les sources sont libres".
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
accessible en 2 clics, donc en 1 commande en interne si je ne m'abuse
http://www.galipe.net/articles/recuperer-mot-passe-thunderbird-password-exporter/
N'oubliez pas le contexte : je dis cela dans le cas ou la bete est deja a
l'interieur (grace a l'ingienirie)
Et puis, je suis sous Linux, aussi. :-D :-D
ce ne me semble pas tres different pourtant
http://linuxfr.org/~nap/14766.html
meme "s'ils" le vendent pour un systeme "plus sur que Windows", ou meme, si
"windows est moins sur" ca ne change pas grand chose a l'affaire.
La potentielle insécurite d'un systeme Linux tient moins dans son kernel que
dans ses applicatifs devellopes par on ne sait qui, on ne sait comment et en
quantite astronomique, sans guere de controle finalement que celui d'une
"communauté qui forcement le verra car les sources sont libres".
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
accessible en 2 clics, donc en 1 commande en interne si je ne m'abuse
http://www.galipe.net/articles/recuperer-mot-passe-thunderbird-password-exporter/
N'oubliez pas le contexte : je dis cela dans le cas ou la bete est deja a
l'interieur (grace a l'ingienirie)
Et puis, je suis sous Linux, aussi. :-D :-D
ce ne me semble pas tres different pourtant
http://linuxfr.org/~nap/14766.html
meme "s'ils" le vendent pour un systeme "plus sur que Windows", ou meme, si
"windows est moins sur" ca ne change pas grand chose a l'affaire.
La potentielle insécurite d'un systeme Linux tient moins dans son kernel que
dans ses applicatifs devellopes par on ne sait qui, on ne sait comment et en
quantite astronomique, sans guere de controle finalement que celui d'une
"communauté qui forcement le verra car les sources sont libres".
Non, effectivement, mais ce n'est pas pour autant qu'ils sont stockés en
quasi-clair sur mon disque dur (contrairement à ceux de Mme Michu la
plupart du temps): la fonctionnalité de "master password" de Thunderbird
est faite pour ça et permet de chiffrer les infos en 3DES.
accessible en 2 clics, donc en 1 commande en interne si je ne m'abuse
http://www.galipe.net/articles/recuperer-mot-passe-thunderbird-password-exporter/
N'oubliez pas le contexte : je dis cela dans le cas ou la bete est deja a
l'interieur (grace a l'ingienirie)
Et puis, je suis sous Linux, aussi. :-D :-D
ce ne me semble pas tres different pourtant
http://linuxfr.org/~nap/14766.html
De toute façon la (relative) démocratisation de Linux démontre que les
problèmes de sécurité de Windows ne sont pas tous du fait de Microsoft.
Oui, je suis d'accord. Même si Microsoft a parfois fait des choix
douteux à ce niveau (à commencer par la phase d'installation qui
n'oblige pas l'utilisateur à déclarer un compte "non admin" et à s'en
servir par défaut.
Plus le public que l'on vise est large, plus on est obligé de tendre
vers le minimum en matière de restrictions par défaut et de
configuration. [...]
Vraisemblablement. Pour recaler le débat: il n'entrait pas dans mes
intentions de faire du "windows-bashing",
je voulais juste signaler,
comme tu le fais, que ceux qui pensent que "Linux c'est mieux" risquent
d'être déçus, s'ils pensent du coup pouvoir faire n'importe quoi avec
sans se montrer un tant soit peu prudents.
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
Ce n'est pas que la responsabilité des admins, leurs employeurs ont
leur part là dedans. Pour une grosse entreprise ça passerait, mais dans
la plus part des cas l'admin d'une PME/PMI qui demanderait une machine
suplémentaire pour s'en servir de poste indépendant servant à
l'administration des services critiques essuyera un refus. Au final il
est obligé de faire cela à partir de son poste de travail, ce qui
augmente forcément les risques. Sans parler du patron qui exige d'avoir
un accès lui aussi ; accès dont il ne se servira jamais parce qu'il n'y
comprend rien, mais qu'il juge nécessaire parce que c'est *lui* qui
commande.
Pour le premier point: tout est question de présentation. Si vous mettez
les bons arguments en avant, je ne pense pas qu'un patron un tant soit
peu lucide, même dans une petite société, refuserait l'achat d'un poste
dédié, surtout quand on compare son prix à celui du firewall lui-même,
et de sa maintenance.
[Master password de Thunderbird]Fonctionnalité qui est mal présentée à mon sens. Madame Michu ne
l'utilise pas parce qu'elle n'a rien à cacher à son mari et que ses
enfants ont (miracle) leur propre session sur le Windows familiale. Du
coup, dans son esprit il ne sert à rien de protéger les mots de passe
car personne n'y a accès.
Ce n'est pas très bien présenté en effet. Toujours le même problème de
manque de doc qui oblige les gens à réfléchir... ;-)
De toute façon la (relative) démocratisation de Linux démontre que les
problèmes de sécurité de Windows ne sont pas tous du fait de Microsoft.
Oui, je suis d'accord. Même si Microsoft a parfois fait des choix
douteux à ce niveau (à commencer par la phase d'installation qui
n'oblige pas l'utilisateur à déclarer un compte "non admin" et à s'en
servir par défaut.
Plus le public que l'on vise est large, plus on est obligé de tendre
vers le minimum en matière de restrictions par défaut et de
configuration. [...]
Vraisemblablement. Pour recaler le débat: il n'entrait pas dans mes
intentions de faire du "windows-bashing",
je voulais juste signaler,
comme tu le fais, que ceux qui pensent que "Linux c'est mieux" risquent
d'être déçus, s'ils pensent du coup pouvoir faire n'importe quoi avec
sans se montrer un tant soit peu prudents.
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
Ce n'est pas que la responsabilité des admins, leurs employeurs ont
leur part là dedans. Pour une grosse entreprise ça passerait, mais dans
la plus part des cas l'admin d'une PME/PMI qui demanderait une machine
suplémentaire pour s'en servir de poste indépendant servant à
l'administration des services critiques essuyera un refus. Au final il
est obligé de faire cela à partir de son poste de travail, ce qui
augmente forcément les risques. Sans parler du patron qui exige d'avoir
un accès lui aussi ; accès dont il ne se servira jamais parce qu'il n'y
comprend rien, mais qu'il juge nécessaire parce que c'est *lui* qui
commande.
Pour le premier point: tout est question de présentation. Si vous mettez
les bons arguments en avant, je ne pense pas qu'un patron un tant soit
peu lucide, même dans une petite société, refuserait l'achat d'un poste
dédié, surtout quand on compare son prix à celui du firewall lui-même,
et de sa maintenance.
[Master password de Thunderbird]
Fonctionnalité qui est mal présentée à mon sens. Madame Michu ne
l'utilise pas parce qu'elle n'a rien à cacher à son mari et que ses
enfants ont (miracle) leur propre session sur le Windows familiale. Du
coup, dans son esprit il ne sert à rien de protéger les mots de passe
car personne n'y a accès.
Ce n'est pas très bien présenté en effet. Toujours le même problème de
manque de doc qui oblige les gens à réfléchir... ;-)
De toute façon la (relative) démocratisation de Linux démontre que les
problèmes de sécurité de Windows ne sont pas tous du fait de Microsoft.
Oui, je suis d'accord. Même si Microsoft a parfois fait des choix
douteux à ce niveau (à commencer par la phase d'installation qui
n'oblige pas l'utilisateur à déclarer un compte "non admin" et à s'en
servir par défaut.
Plus le public que l'on vise est large, plus on est obligé de tendre
vers le minimum en matière de restrictions par défaut et de
configuration. [...]
Vraisemblablement. Pour recaler le débat: il n'entrait pas dans mes
intentions de faire du "windows-bashing",
je voulais juste signaler,
comme tu le fais, que ceux qui pensent que "Linux c'est mieux" risquent
d'être déçus, s'ils pensent du coup pouvoir faire n'importe quoi avec
sans se montrer un tant soit peu prudents.
si des admins ont décidé de permettre un accès à leur firewall depuis
une machine potentiellement vulnérable, c'est leur problème...
Ce n'est pas que la responsabilité des admins, leurs employeurs ont
leur part là dedans. Pour une grosse entreprise ça passerait, mais dans
la plus part des cas l'admin d'une PME/PMI qui demanderait une machine
suplémentaire pour s'en servir de poste indépendant servant à
l'administration des services critiques essuyera un refus. Au final il
est obligé de faire cela à partir de son poste de travail, ce qui
augmente forcément les risques. Sans parler du patron qui exige d'avoir
un accès lui aussi ; accès dont il ne se servira jamais parce qu'il n'y
comprend rien, mais qu'il juge nécessaire parce que c'est *lui* qui
commande.
Pour le premier point: tout est question de présentation. Si vous mettez
les bons arguments en avant, je ne pense pas qu'un patron un tant soit
peu lucide, même dans une petite société, refuserait l'achat d'un poste
dédié, surtout quand on compare son prix à celui du firewall lui-même,
et de sa maintenance.
[Master password de Thunderbird]Fonctionnalité qui est mal présentée à mon sens. Madame Michu ne
l'utilise pas parce qu'elle n'a rien à cacher à son mari et que ses
enfants ont (miracle) leur propre session sur le Windows familiale. Du
coup, dans son esprit il ne sert à rien de protéger les mots de passe
car personne n'y a accès.
Ce n'est pas très bien présenté en effet. Toujours le même problème de
manque de doc qui oblige les gens à réfléchir... ;-)
Je trouve amusant que ce soient deux[1] linuxiens qui disent ça, alors
qu'ils utilisent un OS nettement plus robuste que Windows face aux
attaques venues de l'intérieur. Entre les multiples applications/scripts
permettant de vérifier l'intégrité d'un binaire et la gestion des
droits, une telle attaque n'est pas triviale.
Les plus paranoïaques pouvent parfaitement créer un compte utilisateur
par application/programme et n'accorder le droit d'écriture sur les
binaires qu'à cet utilisateur. On fait un petit coup de shadowing sur le
mot de passe et il faut impérativement casser root pour pouvoir
corrompre autre chose que les données,
ce qui limite suffisement les
risques pour pouvoir dormir plus que tranquillement lorsque l'on n'est
qu'un utilisateur qui ne s'est pas mis la mafia ou un cracker à dos.
Je trouve amusant que ce soient deux[1] linuxiens qui disent ça, alors
qu'ils utilisent un OS nettement plus robuste que Windows face aux
attaques venues de l'intérieur. Entre les multiples applications/scripts
permettant de vérifier l'intégrité d'un binaire et la gestion des
droits, une telle attaque n'est pas triviale.
Les plus paranoïaques pouvent parfaitement créer un compte utilisateur
par application/programme et n'accorder le droit d'écriture sur les
binaires qu'à cet utilisateur. On fait un petit coup de shadowing sur le
mot de passe et il faut impérativement casser root pour pouvoir
corrompre autre chose que les données,
ce qui limite suffisement les
risques pour pouvoir dormir plus que tranquillement lorsque l'on n'est
qu'un utilisateur qui ne s'est pas mis la mafia ou un cracker à dos.
Je trouve amusant que ce soient deux[1] linuxiens qui disent ça, alors
qu'ils utilisent un OS nettement plus robuste que Windows face aux
attaques venues de l'intérieur. Entre les multiples applications/scripts
permettant de vérifier l'intégrité d'un binaire et la gestion des
droits, une telle attaque n'est pas triviale.
Les plus paranoïaques pouvent parfaitement créer un compte utilisateur
par application/programme et n'accorder le droit d'écriture sur les
binaires qu'à cet utilisateur. On fait un petit coup de shadowing sur le
mot de passe et il faut impérativement casser root pour pouvoir
corrompre autre chose que les données,
ce qui limite suffisement les
risques pour pouvoir dormir plus que tranquillement lorsque l'on n'est
qu'un utilisateur qui ne s'est pas mis la mafia ou un cracker à dos.
