les vulnerabilites des naviguateurs

Le
Az Sam
[X-post + FU2 fr.comp.securite)

sur le blog MSN, un article interressant avec pleins de pistes pour tenter
de debrousailler la question du choix du naviguateur.

http://blogs.msdn.com/iefrance/archive/2010/03/01/navigateurs-web-en-entreprise-faire-le-bon-choix-et-comparer-ce-qui-est-comparable.aspx

L'auteur nous dit :
"La seul chose sur laquelle tout le monde devrait être d'accord, c'est
qu'il faut absolument utiliser un navigateur récent car ce sont les
dernières générations qui disposent des mécanismes de sécurité les plus
efficaces pour contrer les menaces venant du Web."

Et c'est un argument que chacun peut lire regulierment.

Moi, je me dis que le derniere faille du dernier naviguateur en date quand
elle n'ets pas decouverte par une personne bien intentionnée, va etre
exploitée immediatement et a la plus grande echelle possible. Le but etant
dans ce cas de prendre de vittesse l'equipe de develloppement qui pourrait
corriger.

Du coup, si on suit ce conseil et que l'on change toujours pour le dernier
naviguateur en date, on pourrait bien se retrouver etre une cible
privilegiée pour les attaques concernant cette faille dont l'editeur n'aura
connaissance qu'apres les remontees sur les 1er degât + le temps de reaction
a etudier le meccanisme, ecire le correctif et le diffuser.

Une faille 0-Day est elle souvent/rarement presente egalement dans les
versions precedentes ?
L'article ne le dit pas.

--
Cordialement,
Az Sam.
Vos réponses Page 3 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephane Catteau
Le #21359561
Bruno Tréguier devait dire quelque chose comme ceci :

En gros, dans un cas vous courez le risque qu'il y ait une faille,
dans l'autre vous en êtes certain. ;-)


comme celle ci ?
http://www.silicon.fr/fr/news/2010/03/10/internet_explorer_victime_d_une_nouvelle_vulnerabilite_critique____sans_correctif
:-/



Par exemple. :-) Bien que dans le cas présent, on peut se demander quel
est le but réel: c'est la société Microsoft elle-même qui annonce une
vulnérabilité qui ne concerne que les versions 6 et 7 de son navigateur,
sans mettre de patch à disposition pour autant... On voudrait forcer la
main aux utilisateurs pour passer à IE8 qu'on ne s'y prendrait pas
autrement.



La question ne se pose même pas. IE 8 est la première version
développpée avec une intention (plus ou moins aboutie) de sécurité, du
coup ils ont tout à gagner à ammener les utilisateurs vers cette
version. Non seulement ça améliorera leur image, puisqu'il est suposé
moins facilement trouable, mais en plus ça leur évitera d'avoir à faire
le support sur des versions qui ont jusqu'à une dizaine d'année (IE 6
date de 2001 si je me souviens bien). Il y a tellement de choses qui
ont changés depuis, si ça se trouve y a plus personne chez eux qui sait
à quoi ressemble le code d'IE 6 ;)
Fabien LE LEZ
Le #21363361
On Thu, 11 Mar 2010 12:01:41 +0100, Stephane Catteau

Il y a tellement de choses qui
ont changé depuis, si ça se trouve y a plus personne chez eux qui sait
à quoi ressemble le code d'IE 6 ;)



Bof... IE7 étant grosso modo IE6 avec le support du format PNG, sa
sortie (pas si ancienne) a dû rafraîchir la mémoire des développeurs.
Jean-Marc Desperrier
Le #21363811
Az Sam wrote:
pleins d'exploits pour multiplier les chances d'en attraper un. Mais
dedans, le dernier en date qui ne toucherait que la derniere version du
naviguateur (par exemple suite a un autre correctif qui l'aurait
ouverte) et ce sont ces utilisateurs là qui se font prendre. Le
utilsiateurs qui pourtant font "tout ce qu'il faut".



Écrivons cela clairement, tu compare :
- un événement incertains et peu probable, une faille non seulement
0-Day mais qui en plus a été introduite par une régression,
avec un autre qui est :
- une certitude *absolue*, toutes les anciennes versions ont des failles
connues, décrites , exploitables, un attaquant a *toutes* les données en
main pour fabriquer le code d'exploitation nécessaire

Donc il est un peu exagéré de dire qu'il faut toujours avoir la derniere
version car elle serait plus sure. Ce que j'avais ressenti instinctivement.



Je pourrais simplement hausser les épaules sur ton obstination à lire de
travers ce que j'ai écrit, mais ça ne me fait pas rire en fait.
Si tu prends des risques sur ton ordinateur c'est pas seulement toi même
que cela concerne, mais aussi tout ceux que ta machine infectée peut
mettre en danger par la suite.
Az Sam
Le #21367181
"Jean-Marc Desperrier" hncq7i$hh6$


Écrivons cela clairement, tu compare :
- un événement incertains et peu probable, une faille non seulement 0-Day
mais qui en plus a été introduite par une régression,
avec un autre qui est :
- une certitude *absolue*, toutes les anciennes versions ont des failles
connues, décrites , exploitables, un attaquant a *toutes* les données en
main pour fabriquer le code d'exploitation nécessaire



regression pas forcement c'etait un exemple.
ce que je veux dire : c'est plus douloureux de se faire prendre au piege
pour celui qui "pourtant fait tout ce qu'il faut" que pour celui qui
finalement s'en moque un peu ou tout au moins prend son temps de voir si il
n'y aurait pas plus de pb avec la nouvelle version.


Donc il est un peu exagéré de dire qu'il faut toujours avoir la derniere
version car elle serait plus sure. Ce que j'avais ressenti
instinctivement.



Je pourrais simplement hausser les épaules sur ton obstination à lire de
travers ce que j'ai écrit, mais ça ne me fait pas rire en fait.
Si tu prends des risques sur ton ordinateur c'est pas seulement toi même
que cela concerne, mais aussi tout ceux que ta machine infectée peut
mettre en danger par la suite.



??
j'ai pourtant bien lu :
"quand c'est une toute nouvelle version majeure avec plein de nouvelles
fonctions, il peut être légitime d'attendre une paire de mois pour vérifier
si elle ne se récupère pas un paquet de nouvelles failles au début."


--
Cordialement,
Az Sam.
Publicité
Poster une réponse
Anonyme