Articles précédents : Articles
- [59] The Happypenguin Awards
- [59] Présentation et test de KDE 3.1
- [13] La famille OGG s'agrandit
- [4] European Digital Rights et sa lettre bi-hebdo
- [14] Aillagon favorable à une refonte de la copie privée
- [71] Quand nos politiciens ouvriront les yeux...
- [71] Microsoft récompensé au LinuxWorld Expo de New York
- [12] Droit à la copie privée : l'appel de l'UFC/Que Choisir
- [13] Double page sur la copie privée dans le monde
- [91] Des nouvelles du desktop
![[fr]](../../../images/fr.png)
> Lire les commentaires (5 commentaires, moyenne: 7,2).
Un bon rappel
On ne le dit pas assez :
- "C'est dans les applications et dans leur exploitation au quotidien que doivent être portés les efforts pour obtenir une bonne sécurité."
Il y a aussi un commentaire très intéressant sur systrace :
- "La restriction des appels systèmes par application (cf systrace) nous semble une bonne chose utilisable par tous les administrateurs Unix. L'escalade des privilèges (qui ont été ajoutés à systrace) est plus dangereuse"
Re: La sécurité en question...
Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?
Est ce que HSC n'est pas un peu de l'esbrouffe ?
Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!
Est ce que se réclamer "pro-logiciels libres" implique "bons services" ?
-
[^]Re: La sécurité en question...
Posté par jojo2002 () le 31/01/2003 à 08:08. (lien). Évalué à 3.>Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?
C'est paradoxal, mais en général, ce sont les clients qui ne souhaitent pas de manipulations de social engineering. De plus déontologiquement, c'est un peu limite : l'objectif reste de piéger personnellement la personne "la plus faible" afin de lui soutirer des renseignements. Cela est en général très mal perçu...
>Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!
C'est un service commercial. Leurs clients n'ont pas forcement le temps de collecter l'ensemble des avis du web, ils demandent une synthèse...
-
[^]Re: La sécurité en question...
Posté par Jihem () le 31/01/2003 à 09:10. (lien). Évalué à 3.Pourquoi une société aussi [('"sérieuse"')] fait elle appel à des jeunes ingés qui se précipitent toujours sur le côté technique, tout en écartant le côté "social engineering" qui finalement représente le plus gros risque ?
Je ne pense pas qu'ils l'écartent mais quand tu vois qu'au moins un d'entre eux est quand même "un peu" connu pour avoir fait Nessus (Renaud Deraison), ils ont axé leur travail sur les points techniques. J'ajouterai que de parler de social engineering est infiniment plus facile que la technique et à peu prêt à la portée de n'importe quel auditeur. Le fait d'avoir une technique pointue permet d'aller justement là où peu d'auditeurs vont.
Est ce que HSC n'est pas un peu de l'esbrouffe ?
Plus de 10 ans qu'ils existent, des centaines de conférences, un personnel de renommée internationale (pour certains): si c'est de l'esbrouffe, toutes les sociétés de sécurité peuvent fermer, au moins les françaises.
De l'esbrouffe, c'est plutôt d'avoir une société avec un très gros capital, d'avoir pleins d'employés, d'avoir plus une politique marketing que technique et déontologique, d'avoir un patron médiatique et de dire que tout cela constitue une référence. Cherchez bien, elle existe mais je ne la nommerai pas.
Que penser du service de veille de sécurité proposé ? Copie des avis diffusés sur d'autres sites ? Je ne vois pas souvent une personne de chez HSC poster sur bugtrack ?!
D'abord, un service de veille consiste à regrouper des infos pertinentes, à les analyser, a émettre un avis d'expert, un conseil, pas forcément à découvrir des choses. De plus, perdre du temps à chercher des bugs non répertoriés pour les beaux yeux d'un éditeur qui gagne des milliards n'est pas rentable. Enfin, ne pas poster sur Bugtraq ne signifie pas qu'on n'en est pas capable et bugtraq n'est pas l'évangile de la sécurité.
Est ce que se réclamer "pro-logiciels libres" implique "bons services" ?
Non. Mais ça n'implique pas le contraire non plus.
-
[^]Re: La sécurité en question...
Posté par Yom () le 31/01/2003 à 09:15. (lien). Évalué à 4.> Que penser du service de veille de sécurité proposé ?
> Copie des avis diffusés sur d'autres sites ?
Bonjour.
Sur ce point, je ne vois ni problème ni différence avec d'autres sociétés "concurrentes". Je reçois quotidiennement la veille d'une autre société présente sur le marché de la sécurité, ce n'est ni plus ni moins que la compilation de tous les bulletins publiés ici ou là. Ce que l'on vous vend n'est pas de l'info exclusive (ce que HSC condamne me semble t-il, et ce dont Symantec, nouveau propriétaire de SecurityFocus rève) mais du temps gagné à compiler par vous-mêmes tous ces infos.
Quant à la production des ingés HSC, même si elle ne se trouve par sur bugtrack, on la trouve ailleurs et cela n'en déprécie pas la qualité ! :-)
Cette page a été générée par Templeet en 0.1282s (dont 0.0739 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.